ACL技术

ACL概述

ACL(access control list)访问控制列表。

ACL可以通过对网络中报文流的精确识别，与其它技术结合，达到控制网络访问、防止网络攻击、提高带宽利用率的目的（注：ACL总是要与其它技术结合使用）。

ACL是一个匹配工具，它通过匹配报文的相关字段对报文进行分类，如源目IP、源目端口、协议类型等，还能匹配一些路由条目。

 ACL应用

1.匹配IP流量

2.在traffic-filter中被调用

3.在NAT中被调用

4.在路由策略中被调用

5.在防火墙策略中被调用

6.在QOS中被调用

7.其它调用

ACL分类

分类	编号	描述
基本ACL	2000-2999	仅使用源IP、分片信息、生效时间来定义规则
高级ACL	3000-3999	可使用源IP、目的IP、源端口、目的端口、IP协议类型、ICMP类型、生效时间等定义规则
二层ACL	4000-4999	使用帧头信息来定义规则：如源/目MAC地址、二层协议类型等
用户自定义ACL	5000-5999	使用报文头、偏移位置、字符串掩码、用户自定义字符串来定义规则
用户ACL	6000-6999	可使用源/目IP地址或源/目UCL组、协议类型、端口等来定义规则

ACL匹配机制

1.将报文与ACL表中的规则逐条匹配（按照规则编号从小到大进行匹配）。

2.如果匹配中某条规则，则执行这条规则中定义的处理动作，并且不再继续匹配。

3.当遍历完ACL表中的所有规则条目后均没有命中，则为不匹配，执行缺省规则。

ACL的匹配位置

通常需要在设备接口的入方向（inbound）或者出方向（outbound）上调用ACL，进行流量匹配。

 ACL配置举例

使用基本ACL过滤数据流量

?

1 2 3 4 5 6 7

[router]acl 2000 [router-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255  //通配符0.0.0.255（反掩码）0为匹配，1为任意。匹配网段，拒绝该网段流量通过。 [router-acl-basic-2000]rule permit source any  //匹配任意流量，允许通过。   [router]interface GigabitEthernet 0/0/1 [router-GigabitEthernet0/0/1]traffic-filter inbound acl 2000  //在接口入方向调用，流量匹配访问控制列表2000。注：traffic-filter过滤器只能应用在接口视图下。 [router-GigabitEthernet0/0/1]quit

 使用高级ACL限制不同网段的用户互访

?

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

[router]acl 3001 [router-acl-adv-3001]rule deny ip soure 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 [router-acl-adv-3001]quit   [router]acl 3002 [router-acl-adv-3002]rule deny ip soure 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 [router-acl-adv-3002]quit   [router]interface GigabitEthernet 0/0/1 [router-GigabitEthernet0/0/1]traffic-filter inbound acl 3001 [router-GigabitEthernet0/0/1]quit   [router]interface GigabitEthernet 0/0/2 [router-GigabitEthernet0/0/2]traffic-filter inbound acl 3002 [router-GigabitEthernet0/0/2]quit