简介

ACL可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。
ACL概述

ACL的组成

ACL的组成：
ACL编号：在网络设备上配置ACL时，每个ACL都需要分配一个编号，称为ACL编号，用来标识ACL。不同分类的ACL编号范围不同，这个后面具体讲。
规则：前面提到了，一个ACL通常由若干条“permit/deny”语句组成，每条语句就是该ACL的一条规则。
规则编号：每条规则都有一个相应的编号，称为规则编号，用来标识ACL规则。可以自定义，也可以系统自动分配。ACL规则的编号范围是0～4294967294，所有规则均按照规则编号从小到大进行排序。
动作：每条规则中的permit或deny，就是与这条规则相对应的处理动作。permit指“允许”，deny指“拒绝”，但是ACL一般是结合其他技术使用，不同的场景，处理动作的含义也有所不同。
比如：ACL如果与流量过滤技术结合使用（即流量过滤中调用ACL），permit就是“允许通行”的意思，deny就是“拒绝通行”的意思。
匹配项：ACL定义了极其丰富的匹配项。例子中体现的源地址，ACL还支持很多其他规则匹配项。例如，二层以太网帧头信息（如源MAC、目的MAC、以太帧协议类型）、三层报文信息（如目的地址、协议类型）以及四层报文信息（如TCP/UDP端口号）等。

规则编号

规则编号和步长的概念：	
规则编号：每条规则都有一个相应的编号，称为规则编号，用来标识ACL规则。可以自定义，也可以系统自动分配。
步长：系统自动为ACL规则分配编号时，每个相邻规则编号之间会有一个差值，这个差值称为“步长”。缺省步长为5，所以规则编号就是5/10/15…以此类推。
如果手工指定了一条规则，但未指定规则编号，系统就会使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。
步长可以调整，如果将步长改为2，系统则会自动从当前步长值开始重新排列规则编号，规则编号就变成2、4、6…。
那步长的作用是什么？直接rule 1/2/3/4…为什么不可以？
先来看一个小题目：如果希望增加一条规则，该如何处理？
可以在rule 10和rule 15之间，手工加入一条rule 11。
因此，设置一定长度的步长的作用，是方便后续在旧规则之间插入新的规则。

通配符


ACL的分类与标识

基本ACL与高级ACL

基本ACL：
主要针对IP报文的源IP地址进行匹配，基本ACL的编号范围是2000-2999。
比如这个例子，创建的是acl 2000，就意味着创建的是基本ACL。
高级ACL：
可以根据IP报文中的源IP地址、目的IP地址、协议类型，TCP或UDP的源目端口号等元素进行匹配，可以理解为：基本ACL是高级ACL的一个子集，高级ACL可以比基本ACL定义出更精确、更复杂、更灵活的规则。

ACL的匹配机制

ACL的匹配机制概括来说就是：
配置ACL的设备接收报文后，会将该报文与ACL中的规则逐条进行匹配，如果不能匹配上，就会继续尝试去匹配下一条规则。
一旦匹配上，则设备会对该报文执行这条规则中定义的处理动作，并且不再继续尝试与后续规则匹配。

ACL的匹配顺序及匹配结果

一条ACL可以由多条“deny或permit”语句组成，每一条语句描述一条规则，这些规则可能存在包含关系，也可能有重复或矛盾的地方，因此ACL的匹配顺序是十分重要的。
华为设备支持两种匹配顺序：自动排序（auto模式）和配置顺序（config模式）。缺省的ACL匹配顺序是config模式。
自动排序，是指系统使用“深度优先”的原则，将规则按照精确度从高到低进行排序，并按照精确度从高到低的顺序进行报文匹配。——这个比较复杂，这里就不具体展开了，感兴趣的同学可以课后查看资料。
配置顺序，系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。——这个就是我们前面提到的匹配顺序。
如果后面又添加了一条规则，则这条规则会被加入到相应的位置，报文仍然会按照从小到大的顺序进行匹配。
匹配结果：（如图所示，以192.168.1.3/24为例）
首先理解ACL 2000的含义：
rule 1：允许源IP地址为192.168.1.1的报文
rule 2：允许源IP地址为192.168.1.2的报文
rule 3：拒绝源IP地址为192.168.1.2的报文
rule 4：允许其他所有IP地址的报文

ACL的匹配位置

入站 (Inbound)及出站 (Outbound)方向

案例：使用基本ACL过滤数据流量

案例：使用高级ACL限制不同网段的用户互访 (1)