访问控制列表 ACL

一、ACL概述

　　访问控制列表(Access Control Lists，ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表由一系列permit或deny语句组成的，有序规则的列表，它可以根据源地址、目的地址、协议端口号等特定条件来设定。

　　ACL用于匹配和区分报文，而无法实现对报文的过滤，针对ACL所匹配的报文过滤，需要配合特定的功能来调用，ACL只是一个匹配报文的工具。

　　

二、ACL的功能

　　（1）过滤IP流量（可根据源IP地址、目的IP地址、协议类型、端口号等元素）

　　（2）在NAT中调用

　　（3）在路由策略中调用

　　（4）在VPN中调用

　　（5）在防火墙中部署调用

　　（6）在Qos中调用

 

三、标识访问控制列表

　　（1）利用数字标识访问控制列表

　　（2）利用名称标识访问控制列表

　

 四、访问控制列表的种类

　　（1）基本访问控制列表：

　　　　Basic ACL:2000-2999

　　　　只能够对IP头中的源IP地址进行匹配。

　　（2）高级访问控制列表：

　　　　Advanced ACL:3000-3999

　　　　能针对数据包的源IP地址、目的IP地址、协议类型、源目的端口号等元素进行匹配。

　　（3）二层访问控制列表

　　　　L2 ACL：4000-4999

 

五、ACL的匹配顺序

　　例如：　　

　　　　acl XXX

　　　　　　Rule 5 （permit/deny） 匹配条件

　　　　　　Rule 10 （permit/deny）  匹配条件

　　　　　　　　... ...

　　　　　　Rule N （permit/deny）  匹配条件

　　　　　　末尾隐含 permit 或 deny any

　　注：ACL的匹配顺序由上至下执行。如前面都是permit，未尾隐含deny;如前面都是deny,未尾隐含permit。

 

六、基本的ACL

　　（1）使用编号创建一个基本ACL，进入ACL视图，ACL编号范围是 2000-2999

　　[H3C] acl num

　　[H3C-acl-basic-num]

　　（2）创建一个rule

　　[H3C-acl-basic-num] rule num {permit/deny} source src-address wildcard

　　注：wildcard 是反掩码

 

七、高级ACL　　

　　（1）使用编号创建一个基本ACL，进入ACL视图，ACL编号范围是 3000-3999

　　[H3C] acl num

　　[H3C-acl-adv-num]

　　（2）创建一个rule

　　[H3C-acl-adv-num] rule num {permit/deny} ip source src-address wildcard destination dst-address wildcard

 

八、特殊的wildcard

　　（1）精确匹配 192.168.1.1

　　　　192.168.1.1 0.0.0.0 = 192.168.1.1

　　（2）匹配所有IP any

　　　　0.0.0.0 255.255.255.255 = any

　　注：wildcard的规划是： 0 表示需要匹配，1表示无需匹配。

 

九、相关命令

  dis acl XXX            //查看ACL匹配的数据包