ACL 技术概述

ACL 概述

- ACL 是由一系列 permit 或 deny 语句组成的、有序规则的列表

- ACL 是一个匹配工具，能对报文进行匹配和区分

ACL 应用

只是一个匹配工具

• 匹配 IP 流量

• 在 Traffic-filter 中被调用

• 在 NAT 中被调用

• 在路由策略中被调用

• 在防火墙策略部署中被调用

• 在 Qos 中被调用

• 其它...

ACL 的基本概念及其工作原理

ACL 的组成

说明

• ACL 由若干条 permit 或 deny 语句组成

• 每条语句就是该 ACL 的一条规则

• 每条语句中的 permit 或 deny 就是与这条规则相对应的处理动作

规则

• rule

• rule id

• 越小优先级越高

• deny/permit

• source

• 通配符

• 32 比特长度的数值，用于指示 IP 地址中，哪些比特位需要严格匹配，哪些比特位无需匹配

• 通常采用类似网络掩码的点分十进制来表示，但是含义却与网络掩码完全不同

ACL 的分类与标识

• 基于 ACL 规则定义方式的分类

  • 基本 ACL

  • 高级 ACL

  • 二层 ACL

  • 用户自定义 ACK

  • 用户 ACL

• 基于 ACL 标识方式的分类

  • 数字型 ACL

  • 命名型 ACL

ACL 的匹配顺序及匹配结果

配置顺序（config 模式）

ACL 配置的位置

• Inbound

• Outbound

ACL 的基础配置及应用

基本 ACL 的基础配置命令

案例：使用基本 ACL 过滤数据流量

1. Router 已完成 IP 地址和路由的相关配置

2. 在 Router 上创建基本 ACL，禁止 192.168.1.0/24 网段访问路由器网络

3. 由于从接口 GE0/0/1 进入 Router，所以在接口 GE0/0/1 的入方向配置流量过滤

高级 ACL 的基础配置命令

1. 创建高级 ACL

2. 配置基本 ACL 的规则

案例：使用高级 ACL 限制不同网段的用户互访（1）

1. Router 已完成 IP 地址和路由的相关配置

2. 创建高级 ACL 3001 并配置 ACL 规则，拒绝研发部访问市场部的报文

3. 创建高级 ACL 3002 并配置 ACL 规则，拒绝市场部访问研发部的报文