先站到接口上,看包是进来还是出去
ACL 的入方向和出方向,是相对于某个接口来说的。数据包从这个接口进入路由器,就是入方向;数据包从这个接口离开路由器,就是出方向。同一条流量,在上一台设备看来可能是出方向,在下一台设备看来又变成入方向,所以不能凭拓扑图左边右边判断。
做题时建议先画一条箭头:源主机到目的主机。然后沿着箭头看每台路由器的接口。如果箭头指向路由器接口,就是这个接口的入方向;如果箭头从路由器接口指向外面,就是这个接口的出方向。这个动作很慢,但能防止方向题乱猜。
| 判断问题 | 看什么 | 常见误区 |
|---|---|---|
| 入方向 | 数据包进入该接口 | 把拓扑左侧当入方向 |
| 出方向 | 数据包离开该接口 | 把接口名字和方向混淆 |
| 源地址 | 包从哪里来 | 过滤时只看目的网段 |
| 目的地址 | 包要到哪里去 | 忘记服务端口也可能是判断点 |
标准 ACL 和扩展 ACL 的放置思路不一样
标准 ACL 通常只能根据源地址做过滤。如果放得太靠近源端,可能会把这个源去往其他合法目的地的流量也一起挡掉,所以常见原则是尽量靠近目的端。它的控制粒度较粗,放置位置要谨慎。
扩展 ACL 可以匹配源地址、目的地址、协议和端口,控制更细。为了避免不必要的流量在网络里跑很远,通常建议靠近源端放置。考试题里如果出现禁止某网段访问某服务器的 80 端口,但允许访问其他服务,就已经有扩展 ACL 的味道。
老师会这样拆题
只按源地址限制:先考虑标准 ACL,位置尽量靠近目的。
按源、目的、协议、端口限制:先考虑扩展 ACL,位置尽量靠近源。
不管哪类 ACL,都要回到接口方向上确认入或出。
不要忘了默认拒绝和规则顺序
ACL 规则通常按顺序匹配,匹配到就执行对应动作,后面的规则不再继续看。很多题会把允许规则和拒绝规则放在一起考,如果顺序写错,结果就完全不同。比如先拒绝一个大网段,再允许其中某台主机,后面的允许可能根本没有机会生效。
还要注意默认拒绝。很多 ACL 末尾存在隐含的 deny all,如果只写了拒绝某一类流量,却忘记允许其他流量,就可能把本来应该通过的业务也挡住。软考题一般不会让你写完整配置,但会考你是否理解这种匹配逻辑。
| 题干信号 | 优先想到 | 提醒 |
|---|---|---|
| 规则从上到下执行 | 顺序匹配 | 先精确后宽泛通常更安全 |
| 未匹配流量被拒绝 | 隐含 deny all | 需要允许的流量要显式放行 |
| 禁止访问 Web 但允许其他服务 | 扩展 ACL | 要看协议和端口 |
| 只限制某源网段访问 | 标准 ACL | 位置靠近目的更常见 |
备考时用三句话稳定判断
第一句:先画流量方向,不画方向不谈入出。第二句:标准 ACL 看源地址,放置尽量别误伤;扩展 ACL 看源、目的、协议、端口,尽量让无效流量早点被拦。第三句:检查规则顺序和默认拒绝,别让正确策略因为顺序写错而失效。
ACL 题不是单纯背命令,重点是网络路径和过滤意图。你能说清楚“我为什么放在这个接口、为什么是入方向、为什么不是出方向”,比记住某条配置格式更有用。网络工程师考试喜欢考这种带一点场景判断的基础题。
相关题目解析
下面这些题目和本专题的判断方法关联较强,适合读完概念后回到具体题干里校验理解。
- 浮动静态路由为什么要配置较大的管理距离?浮动静态路由 / 管理距离
- 配置静态路由时下一跳地址表示什么?2026年真题考点 / 静态路由
- 递归 DNS 和权威 DNS 在域名解析中有什么区别?DNS / 递归查询