访问控制列表-细说ACL那些事儿.docx

文档名称文档密级 TIME \@ yyyy-M-d 2016-5-7华为保密信息,未经授权禁止扩散第PAGE14页, 共 NUMPAGES \* Arabic \* MERGEFORMAT 26页访问控制列表-细说ACL那些事儿（初步认识ACL）传闻江湖乱世之时，出现了一门奇招妙计名曰“ACL”。其变化多端、高深莫测，部署在江湖各处的交换机轻松使上这一招，便能平定乱世江湖。所以，这ACL也被江湖人士一时传为佳话。ACL到底是何方秘籍？它拥有什么样的魔力能够平定江湖？今日，且让小编来为大家答疑解惑！ACL，是Access Control List的简称，中文名称叫“访问控制列表”，它由一系列规则（即描述报文匹配条件的判断语句）组成。这些条件，可以是报文的源地址、目的地址、端口号等。这样解释ACL，大家是不是觉得太抽象了！好，现在小编换一种解释方式。打个比方，ACL其实是一种报文过滤器，ACL规则就是过滤器的滤芯。安装什么样的滤芯（即根据报文特征配置相应的ACL规则），ACL就能过滤出什么样的报文了。基于过滤出的报文，我们能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等等，从而提高网络环境的安全性和网络传输的可靠性。说到这，大家一定迫不及待的想看看ACL长啥模样。话不多说，先上图！围绕这张ACL结构图，小编为大家一一介绍ACL的基本概念。ACL分类首先，图中是一个数字型ACL，ACL编号为2000。这类似于人类的身份证号，用于唯一标识自己的身份。当然，人类的身份证上不仅有身份证编号，还有每个人自己的名字。ACL也同样如此，除了数字型ACL，还有一种叫做命名型的ACL，它就能拥有自己的ACL名称。通过名称代替编号来定义ACL，就像用域名代替IP地址一样，可以方便记忆，也让大家更容易识别此ACL的使用目的。另外，小编告诉大家，命名型ACL实际上是“名字+数字”的形式，可以在定义命名型ACL时同时指定ACL编号。如果不指定编号，则由系统自动分配。上图就是一个既有名字“deny-telnet-login”又有编号 “3998”的ACL。细心的你，一定会注意到，ACL结构图中的ACL编号是“2000”，而这个例子中的ACL编号是“3998”，两者有什么区别吗？实际上，按照ACL规则功能的不同，ACL被划分为基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL这五种类型。每种类型ACL对应的编号范围是不同的。ACL 2000属于基本ACL，ACL 3998属于高级ACL。高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则，所以高级ACL的功能更加强大。ACL类别规则定义描述编号范围基本ACL仅使用报文的源IP地址、分片标记和时间段信息来定义规则。2000～2999高级ACL既可使用报文的源IP地址，也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。3000～3999二层ACL可根据报文的以太网帧头信息来定义规则，如根据源MAC地址、目的MAC地址、以太帧协议类型等。4000～4999用户自定义ACL可根据报文偏移位置和偏移量来定义规则。5000～5999用户ACL既可使用IPv4报文的源IP地址或源UCL（User Control List）组，也可使用目的地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。6000～9999ACL规则接下来，我们来看看图中ACL的 “deny | permit”语句。这些条件语句，我们称作ACL规则（rule）。其中的“deny | permit”，称作ACL动作，表示拒绝/允许。每条规则都拥有自己的规则编号，如5、10、4294967294。这些编号，可以自行配置，也可以由系统自动分配。那么系统是怎样自动分配规则编号的？小编先卖个关子，请继续关注下文。ACL规则的编号范围是0～4294967294，所有规则均按照规则编号从小到大进行排序。所以，上图中我们可以看到rule 5排在首位，而规则编号最大的rule 4294967294排在末位。系统按照规则编号从小到大的顺序，将规则依次与报文匹配，一旦匹配上一条规则即停止匹配。关于ACL的匹配机制，在后续连载系列中，小编还将为大家作更深入的介绍。除了包含ACL动作和规则编号，我们可以看到ACL规则中还定义了源地址、生效时间段这样的字段。这些字段，称作匹配选项，它是ACL规则的重要组成部分。其实，ACL提供了极其丰富的匹配选项。你可以选择二层以太网帧头信息（如源MAC、目的MAC、以太帧协议类型）作为匹配选项，也可以选择三层报文信息（如源地址、目的地址