ACL原理和作用ACL類型和特點：需要一個工具，實現流量過濾_世界速看

關于acl是什么意思（ACL原理和作用ACL類型和特點）這個很多人還不知道，今天小編來為大家解答以上的問題，現在讓我們一起來看看吧！

(相關資料圖)

?隨著網絡的飛速發展，網絡安全和網絡服務質量QoS (Quality of Service)問題日益突出。訪問控制列表 (ACL, Access Control List)是與其緊密相關的一個技術。

?ACL可以通過對網絡中報文流的精確識別，與其他技術結合，達到控制網絡訪問行為、防止網絡攻擊和提高網絡帶寬利用率的目的，從而切實保障網絡環境的安全性和網絡服務質量的可靠性。

?在本章節中，將介紹ACL的基本原理和基本作用，ACL的不同種類及特點，ACL的基本組成和匹配順序，通配符的使用方法和ACL的相關配置。

技術背景：需要一個工具，實現流量過濾

?隨著網絡的飛速發展，網絡安全和網絡服務質量QoS（Quality of Service）問題日益突出。

?園區重要服務器資源被隨意訪問，園區機密信息容易泄露，造成安全隱患。

?Internet病毒肆意侵略園區內網，內網環境的安全性堪憂。

?網絡帶寬被各類業務隨意擠占，服務質量要求最高的語音、視頻業務的帶寬得不到保障，造成用戶體驗差。

?以上種種問題，都對正常的網絡通信造成了很大的影響。因此，提高網絡安全性和服務質量迫在眉睫，我們需要對網絡進行控制。比如，需要借助一個工具幫助實現一些流量的過濾。

?某公司為保證財務數據安全，禁止研發部門訪問財務服務器，但總裁辦公室不受限制。

ACL概述

?通過ACL可以實現對網絡中報文流的精確識別和控制，達到控制網絡訪問行為、防止網絡攻擊和提高網絡帶寬利用率的目的，從而切實保障網絡環境的安全性和網絡服務質量的可靠性。

?ACL是由permit或deny語句組成的一系列有順序的規則的集合；它通過匹配報文的相關字段實現對報文的分類。

?ACL是能夠匹配一個IP數據包中的源IP地址、目的IP地址、協議類型、源目的端口等元素的基礎性工具；ACL還能夠用于匹配路由條目。

?在本章課程中主要通過流量過濾來介紹ACL。

?ACL是由一系列permit或deny語句組成的、有序規則的列表。

?ACL是一個匹配工具，能夠對報文進行匹配和區分。

ACL應用

?匹配IP流量

?在Traffic-filter中被調用

?在NAT（Network Address Translation）中被調用

?在路由策略中被調用

?在防火墻的策略部署中被調用

?在QoS中被調用

?其他……

ACL的組成

?ACL的組成：

?ACL編號：在網絡設備上配置ACL時，每個ACL都需要分配一個編號，稱為ACL編號，用來標識ACL。不同分類的ACL編號范圍不同，這個后面具體講。

?規則：前面提到了，一個ACL通常由若干條“permit/deny”語句組成，每條語句就是該ACL的一條規則。

?規則編號：每條規則都有一個相應的編號，稱為規則編號，用來標識ACL規則。可以自定義，也可以系統自動分配。ACL規則的編號范圍是0～4294967294，所有規則均按照規則編號從小到大進行排序。

?動作：每條規則中的permit或deny，就是與這條規則相對應的處理動作。permit指“允許”，deny指“拒絕”，但是ACL一般是結合其他技術使用，不同的場景，處理動作的含義也有所不同。

?比如：ACL如果與流量過濾技術結合使用（即流量過濾中調用ACL），permit就是“允許通行”的意思，deny就是“拒絕通行”的意思。

?匹配項：ACL定義了極其豐富的匹配項。例子中體現的源地址，ACL還支持很多其他規則匹配項。例如，二層以太網幀頭信息（如源MAC、目的MAC、以太幀協議類型）、三層報文信息（如目的地址、協議類型）以及四層報文信息（如TCP/UDP端口號）等。

?提問：rule 5 permit source 1.1.1.0 0.0.0.255 是什么意思？這個在后續課程中會介紹。

?ACL由若干條permit或deny語句組成。每條語句就是該ACL的一條規則，每條語句中的permit或deny就是與這條規則相對應的處理動作。

規則編號

?規則編號和步長的概念：

?規則編號：每條規則都有一個相應的編號，稱為規則編號，用來標識ACL規則。可以自定義，也可以系統自動分配。

?步長：系統自動為ACL規則分配編號時，每個相鄰規則編號之間會有一個差值，這個差值稱為“步長”。缺省步長為5，所以規則編號就是5/10/15…以此類推。

?如果手工指定了一條規則，但未指定規則編號，系統就會使用大于當前ACL內最大規則編號且是步長整數倍的最小整數作為規則編號。

?步長可以調整，如果將步長改為2，系統則會自動從當前步長值開始重新排列規則編號，規則編號就變成2、4、6…。

?那步長的作用是什么？直接rule 1/2/3/4…為什么不可以？

?先來看一個小題目：如果希望增加一條規則，該如何處理？

?可以在rule 10和rule 15之間，手工加入一條rule 11。

?因此，設置一定長度的步長的作用，是方便后續在舊規則之間插入新的規則。

規則編號與步長

?規則編號（Rule ID）：

一個ACL中的每一條規則都有一個相應的編號。

?步長（Step）:

步長是系統自動為ACL規則分配編號時，每個相鄰規則編號之間的差值，缺省值為5。步長的作用是為了方便后續在舊規則之間，插入新的規則。

?Rule ID分配規則：

系統為ACL中首條未手工指定編號的規則分配編號時，使用步長值（例如步長=5，首條規則編號為5）作為該規則的起始編號；為后續規則分配編號時，則使用大于當前ACL內最大規則編號且是步長整數倍的最小整數作為規則編號。

通配符 (1)

?當進行IP地址匹配的時候，后面會跟著32位掩碼位，這32位稱為通配符。

?通配符，也是點分十進制格式，換算成二進制后，“0”表示“匹配”，“1”表示“不關心”。

?具體看下這2條規則：

?rule 5: 拒絕源IP地址為10.1.1.1報文通過——因為通配符為全0，所以每一位都要嚴格匹配，因此匹配的是主機IP地址10.1.1.1；

?rule 15:允許源IP地址為10.1.1.0/24網段地址的報文通過——因為通配符：0.0.0.11111111，后8位為1，表示不關心，因此10.1.1.xxxxxxxx 的后8位可以為任意值，所以匹配的是10.1.1.0/24網段。

?例子：如果要精確匹配192.168.1.1/24這個IP地址對應的網段地址，通配符是多少？

?可以得出：網絡位需要嚴格匹配，主機位無所謂，因此通配符為“0.0.0.255”。

匹配規則：

“0”表示“匹配”；“1”表示“隨機分配”

通配符 (Wildcard)

?通配符是一個32比特長度的數值，用于指示IP地址中，哪些比特位需要嚴格匹配，哪些比特位無需匹配。

?通配符通常采用類似網絡掩碼的點分十進制形式表示，但是含義卻與網絡掩碼完全不同。

通配符 (2)

?如果想匹配192.168.1.0/24網段中的奇數IP地址，通配符該怎么寫呢？

?我們先來看一看，奇數IP地址都有哪些：192.168.1.1、192.168.1.5、192.168.1.11……

?后八位寫成二進制：192.168.1.00000001、192.168.1.00000101、192.168.1.00001011……

?可以看出共同點：最后8位的高7位是任意值，最低位固定為1，因此答案是：192.168.1.1 0.0.0.254（0.0.0.11111110）

?這就得出了通配符的一個特點：通配符中的1或者0是可以不連續的。

?還有兩個特殊的通配符：

?當通配符全為0來匹配IP地址時，表示精確匹配某個IP地址；

?當通配符全為1來匹配0.0.0.0地址時，表示匹配了所有IP地址。

?匹配192.168.1.0/24這個子網中的奇數IP地址，例如192.168.1.1、192.168.1.3、192.168.1.5等。

ACL的分類與標識

?基于ACL規則定義方式的劃分，可分為：

?基本ACL、高級ACL、二層ACL、用戶自定義ACL和用戶ACL。

?基于ACL標識方法的劃分，則可分為：

?數字型ACL和命名型ACL。

?注意：用戶在創建ACL時可以為其指定編號，不同的編號對應不同類型的ACL。同時，為了便于記憶和識別，用戶還可以創建命名型ACL，即在創建ACL時為其設置名稱。命名型ACL，也可以是“名稱 數字”的形式，即在定義命名型ACL時，同時指定ACL編號。如果不指定編號，系統則會自動為其分配一個數字型ACL的編號。

?基于ACL規則定義方式的分類

分類	編號范圍	規則定義描述
基本ACL	2000~2999	僅使用報文的源IP地址、分片信息和生效時間段信息來定義規則。
高級ACL	3000~3999	可使用IPv4報文的源IP地址、目的IP地址、IP協議類型、ICMP類型、TCP源/目的端口號、UDP源/目的端口號、生效時間段等來定義規則。
二層ACL	4000~4999	使用報文的以太網幀頭信息來定義規則，如根據源MAC地址、目的MAC地址、二層協議類型等。
用戶自定義ACL	5000~5999	使用報文頭、偏移位置、字符串掩碼和用戶自定義字符串來定義規則。
用戶ACL	6000~6999	既可使用IPv4報文的源IP地址或源UCL（User Control List）組，也可使用目的IP地址或目的UCL組、IP協議類型、ICMP類型、TCP源端口/目的端口、UDP源端口/目的端口號等來定義規則。

基于ACL標識方法的分類

分類	規則定義描述
數字型ACL	傳統的ACL標識方法。創建ACL時，指定一個唯一的數字標識該ACL。
命名型ACL	通過名稱代替編號來標識ACL。

基本ACL&高級ACL

?基本ACL：

?主要針對IP報文的源IP地址進行匹配，基本ACL的編號范圍是2000-2999。

?比如這個例子，創建的是acl 2000，就意味著創建的是基本ACL。

?高級ACL：

?可以根據IP報文中的源IP地址、目的IP地址、協議類型，TCP或UDP的源目端口號等元素進行匹配，可以理解為：基本ACL是高級ACL的一個子集，高級ACL可以比基本ACL定義出更精確、更復雜、更靈活的規則。

ACL的匹配機制

?ACL的匹配機制概括來說就是：

?配置ACL的設備接收報文后，會將該報文與ACL中的規則逐條進行匹配，如果不能匹配上，就會繼續嘗試去匹配下一條規則。

?一旦匹配上，則設備會對該報文執行這條規則中定義的處理動作，并且不再繼續嘗試與后續規則匹配。

?匹配流程：首先系統會查找設備上是否配置了ACL。

?如果ACL不存在，則返回ACL匹配結果為：不匹配。

?如果ACL存在，則查找設備是否配置了ACL規則。

?如果規則不存在，則返回ACL匹配結果為：不匹配。

?如果規則存在，則系統會從ACL中編號最小的規則開始查找。

?如果匹配上了permit規則，則停止查找規則，并返回ACL匹配結果為：匹配（允許）。

?如果匹配上了deny規則，則停止查找規則，并返回ACL匹配結果為：匹配（拒絕）。

?如果未匹配上規則，則繼續查找下一條規則，以此循環。如果一直查到最后一條規則，報文仍未匹配上，則返回ACL匹配結果為：不匹配。

?從整個ACL匹配流程可以看出，報文與ACL規則匹配后，會產生兩種匹配結果：“匹配”和“不匹配”。

?匹配（命中規則）：指存在ACL，且在ACL中查找到了符合匹配條件的規則。不論匹配的動作是“permit”還是“deny”，都稱為“匹配”，而不是只是匹配上permit規則才算“匹配”。

?不匹配（未命中規則）：指不存在ACL，或ACL中無規則，再或者在ACL中遍歷了所有規則都沒有找到符合匹配條件的規則。以上三種情況，都叫做“不匹配”。

?匹配原則：一旦命中即停止匹配。

ACL的匹配順序及匹配結果

?配置順序（config模式）

?系統按照ACL規則編號從小到大的順序進行報文匹配，規則編號越小越容易被匹配。

?一條ACL可以由多條“deny或permit”語句組成，每一條語句描述一條規則，這些規則可能存在包含關系，也可能有重復或矛盾的地方，因此ACL的匹配順序是十分重要的。

?華為設備支持兩種匹配順序：自動排序（auto模式）和配置順序（config模式）。缺省的ACL匹配順序是config模式。

?自動排序，是指系統使用“深度優先”的原則，將規則按照精確度從高到低進行排序，并按照精確度從高到低的順序進行報文匹配。——這個比較復雜，這里就不具體展開了，感興趣的同學可以課后查看資料。

?配置順序，系統按照ACL規則編號從小到大的順序進行報文匹配，規則編號越小越容易被匹配。——這個就是我們前面提到的匹配順序。

?如果后面又添加了一條規則，則這條規則會被加入到相應的位置，報文仍然會按照從小到大的順序進行匹配。

?匹配結果：（如圖所示，以192.168.1.3/24為例）

?首先理解ACL 2000的含義：

?rule 1：允許源IP地址為192.168.1.1的報文

?rule 2：允許源IP地址為192.168.1.2的報文

?rule 3：拒絕源IP地址為192.168.1.2的報文

?rule 4：允許其他所有IP地址的報文

ACL的匹配位置

入站 (Inbound)及出站 (Outbound)方向

基本ACL的基礎配置命令

?創建基本ACL

?[Huawei] acl [ number ] acl-number [ match-order config ]

?acl-number：指定訪問控制列表的編號。

?match-order config：指定ACL規則的匹配順序，config表示配置順序。

?[Huawei] acl name acl-name { basic | acl-number } [ match-order config ]

?acl-name：指定創建的ACL的名稱。

?basic：指定ACL的類型為基本ACL。

?配置基本ACL規則

?[Huawei-acl-basic-2000] rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | time-range time-name ]

?rule-id：指定ACL的規則ID。

?deny：指定拒絕符合條件的報文。

?permit：指定允許符合條件的報文。

?source { source-address source-wildcard | any }：指定ACL規則匹配報文的源地址信息。如果不配置，表示報文的任何源地址都匹配。其中：

?source-address：指定報文的源地址。

?source-wildcard：指定源地址通配符。

?any：表示報文的任意源地址。相當于source-address為0.0.0.0或者source-wildcard為255.255.255.255。

?time-range time-name：指定ACL規則生效的時間段。其中，time-name表示ACL規則生效時間段名稱。如果不指定時間段，表示任何時間都生效。