1缩略语.docVIP

锐捷ACL应用技术白皮书 ACL，是访问控制列表(Access Control Lists)的简称。在实际的网络环境中，各种上层访问都是通过报文交互进行的，为了进行访问控制，就通过ACL设置一系列过滤规则来控制报文转发和过滤，从而达到目的，所以称之为访问控制列表。本文阐析了ACL功能的工作机制。并在此基础上，说明我司交换机在ACL功能上的特点，优越性及其应用。 ACL ACE 技术白皮书修订记录 日期 修订版本 修改章节 修改描述 作者 2008-8-11 1.0 目 录 摘要 1 关键词 1 1 缩略语 2 2 概述 2 2.1 ACL技术产生的背景 2 2.2 我司交换机产品对ACL功能的支持情况 3 3 技术介绍 4 3.1 ACL工作原理 4 3.1.1 ACL分类 4 3.1.2 安全ACL种类 4 3.1.3 Access Control Entry 4 3.1.4 安全ACL过滤报文原理 6 3.1.5 基于接口和基于VLAN的ACL 8 4 锐捷ACL技术特点 11 4.1 配置灵活方便 11 4.2 功能完备 11 4.3 过滤性能好 11 4.4 各款产品ACL功能限制 12 4.4.1 各类型ACL共有限制 12 4.4.2 各款产品支持情况差异性说明 12 4.4.3 机箱式设备的线卡类型汇总 14 4.5 各款产品ACL在各种应用情况下的限制和容量值 15 4.5.1 IP标准ACL的限制和容量值 15 4.5.2 IP扩展ACL的限制和容量值 15 4.5.3 MAC扩展ACL的限制和容量值 16 4.5.4 专家级ACL的限制和容量值 17 4.5.5 IPv6 ACL的限制和容量值 17 4.6 使用我司ACL功能注意事项 18 4.7 应用与案例分析 19 4.7.1 核心层交换机S86关键配置 20 4.7.2 汇聚层交换机S57关键配置 22 4.7.3 接入层交换机S26关键配置 24 5 结束语 26 ACL：Access Control List，访问控制列表 ACE：Access Control Entry，ACL的组成元素 VACL：基于VLAN的ACL Port ACL：基于二层接口的ACL AP：Aggregate Port L2 AP：二层AP接口 L3 AP：三层AP接口 SVI：Switch Vlan Interface，交换机虚拟VLAN接口 Routed Port：路由口 ACL技术产生的背景 PC和服务器之间的报文交互进行的，而报文则是通过交换机，路由器等各种网络设备进行传输的。随着网络的普及，网络安全问题日益突出，如各种针对交换机的恶意攻击、病毒肆虐等等，对正常的网络通讯造成很大影响。以上种种原因迫使我们需要对网络中的数据流进行监控、控制，确保网络安全或将安全风险降低到最低程度。 在典型的公司企业网络环境中(如图1所示)： 图1 企业网络环境 就存在以下需求： 1．一些内部服务器如财务服务器，会计服务器只允许财务部的人员访问，其他部门不允许访问，此时就要对来自其他部门的数据流进行过滤。 2．由于当今Internet病毒无处不在，因此，需要对来自Internet的数据包进行监控，过滤，对那些病毒经常使用的端口予以封堵，保证内部网络安全。 3．各个部门之间的数据流如财务部和生产部之间，也就是VLAN间的数据流，出于安全考虑，对数据流进行检查，过滤等等。 这些需求可以使用ACL就可对网络中的数据流进行有效的检查、监控。 我司交换机产品对ACL功能的支持情况 目前我司产品除S20系列外全部支持ACL功能，支持的ACL种类丰富，可满足不同层次需求。我司ACL可以过滤多种类型报文，如IP，IPX，各种二层报文。对网络中最常见的IP报文，可以过滤的内容也很丰富，从最常见的IP地址，MAC地址，端口到相对不太常见的TOS信息，分片信息，三层协议类型等都可进行匹配，过滤，可以满足各种用户需求。 ACL工作原理 我司具备的ACL功能强大，不但支持的ACL 类型多，而且可以匹配的字段也很丰富，而且都是由硬件实现，过滤效率高。 ACL分类 ACL根据使用方式的不同主要分为两大类型：安全ACL和QOS ACL。本文主要介绍安全ACL。 安全ACL主要分为两大类型：基于接口的ACL和基于VLAN的ACL。 基于接口的ACL，顾名思义，ACL的运用对象是接口，这里的端口包含的种类很多，主要分为二层接口和三层接口。运用于二层接口的ACL又被称为Port ACL或基于二层接口的ACL，运用于三层接口的ACL又称为基于三层接口的ACL。二层接口主要包括Access口，