华为S5700 ACL访问控制列表

时间：2015-12-30 00:32:57 阅读：5573 评论：0 收藏：0 [点我收藏+]

初识ACL

ACL，是Access Control List的简称，中文翻译为“访问控制列表”，它由一系列规则（即描述报文匹配条件的判断语句）组成。这些匹配条件，可以是报文的源地址、目的地址、端口号等。通俗的讲ACL其实是一种报文过滤器，ACL规则就是过滤器的滤芯。安装什么样的滤芯（即根据报文特征配置相应的ACL规则），ACL就能过滤出什么样的报文了。通过ACL，我们可以把流量根据某种规则进行匹配，对满足匹配条件的流量做特定的操作。

基于过滤出的报文，我们能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等等，从而提高网络环境的安全性和网络传输的可靠性。

ACL规则如下图所示：

1、ACL分类

实际上，按照ACL规则功能的不同，ACL被划分为基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL这五种类型。每种类型ACL对应的编号范围是不同的。ACL 2000属于基本ACL，ACL 3998属于高级ACL。高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则，所以高级ACL的功能更加强大。

2、ACL规则

我们来看看图中ACL的 “deny | permit”语句。这些条件语句，我们称作ACL规则（rule）。其中的“deny | permit”，称作ACL动作，表示拒绝/允许。
每条规则都拥有自己的规则编号。ACL规则的编号范围是0～4294967294，所有规则均按照规则编号从小到大进行排序。系统按照规则编号从小到大的顺序，将规则依次与报文匹配，一旦匹配上一条规则即停止匹配。
除了包含ACL动作和规则编号，我们可以看到ACL规则中还定义了源地址、生效时间段这样的字段。这些字段，称作匹配选项，它是ACL规则的重要组成部分。

3、步长

步长，是指系统自动为ACL规则分配编号时，每个相邻规则编号之间的差值。也就是说，系统是根据步长值自动为ACL规则分配编号的。

图中的ACL 2000，步长就是5。系统按照5、10、15…这样的规律为ACL规则分配编号。如果将步长调整为了2，那么规则编号会自动从步长值开始重新排列，变成2、4、6…。

说到这，小伙伴们是不是好奇了，设置ACL步长有什么作用呢？

实际上，设置步长的目的，是为了方便大家在ACL规则之间插入新的规则。通过设置ACL步长，为规则之间留下一定的空间，后续再想插入新的规则，就非常轻松了。

4 、ACL匹配机制

ACL在匹配报文时遵循“一旦命中即停止匹配”的原则。

从整个ACL匹配流程可以看出，报文与ACL规则匹配后，会产生两种匹配结果：“匹配”和“不匹配”。我们定义ACL规则就是为了匹配报文。

l 匹配（命中规则）：指存在ACL，且在ACL中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”，都称为“匹配”，而不是只是匹配上permit规则才算“匹配”。

l 不匹配（未命中规则）：指不存在ACL，或ACL中无规则，再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。切记以上三种情况，都叫做“不匹配”。

5、ACL规则匹配顺序

ACL定义的两种规则匹配顺序：配置顺序（config）和自动排序（auto）。

配置顺序，即系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。后插入的规则，如果你指定的规则编号更小，那么这条规则可能会被先匹配上。
自动排序，是指系统使用“深度优先”的原则（最长匹配原则），将规则按照精确度自动从高到底进行排序，系统按照精确度从高到低的顺序进行报文匹配。规则中定义的匹配项限制越严格，规则的精确度就越高，即优先级越高，那么该规则的编号就越小，系统越先匹配。例如，有一条规则的目的IP地址匹配项是一台主机地址2.2.2.2/32，而另一条规则的目的IP地址匹配项是一个网段2.2.2.0/24，前一条规则指定的地址范围更小，所以其精确度更高，系统会优先将报文与前一条规则进行匹配。
在自动排序的ACL中配置规则，不允许自行指定规则编号。系统能自动识别出该规则在这条ACL中对应的优先级，并为其分配一个适当的规则编号。