ACL原理和作用ACL類型和特點(diǎn) acl是什么意思 _生活經(jīng)驗(yàn)

?隨著網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)服務(wù)質(zhì)量QoS (Quality of Service)問(wèn)題日益突出。訪問(wèn)控制列表 (ACL, Access Control List)是與其緊密相關(guān)的一個(gè)技術(shù) 。
?ACL可以通過(guò)對(duì)網(wǎng)絡(luò)中報(bào)文流的精確識(shí)別，與其他技術(shù)結(jié)合，達(dá)到控制網(wǎng)絡(luò)訪問(wèn)行為、防止網(wǎng)絡(luò)攻擊和提高網(wǎng)絡(luò)帶寬利用率的目的，從而切實(shí)保障網(wǎng)絡(luò)環(huán)境的安全性和網(wǎng)絡(luò)服務(wù)質(zhì)量的可靠性。
?在本章節(jié)中，將介紹ACL的基本原理和基本作用，ACL的不同種類及特點(diǎn) ， ACL的基本組成和匹配順序，通配符的使用方法和ACL的相關(guān)配置。
技術(shù)背景：需要一個(gè)工具，實(shí)現(xiàn)流量過(guò)濾
?隨著網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)服務(wù)質(zhì)量QoS（Quality of Service）問(wèn)題日益突出。
?園區(qū)重要服務(wù)器資源被隨意訪問(wèn) ，園區(qū)機(jī)密信息容易泄露，造成安全隱患。
?Internet病毒肆意侵略園區(qū)內(nèi)網(wǎng)，內(nèi)網(wǎng)環(huán)境的安全性堪憂。
?網(wǎng)絡(luò)帶寬被各類業(yè)務(wù)隨意擠占，服務(wù)質(zhì)量要求最高的語(yǔ)音、視頻業(yè)務(wù)的帶寬得不到保障，造成用戶體驗(yàn)差。
?以上種種問(wèn)題，都對(duì)正常的網(wǎng)絡(luò)通信造成了很大的影響。因此，提高網(wǎng)絡(luò)安全性和服務(wù)質(zhì)量迫在眉睫，我們需要對(duì)網(wǎng)絡(luò)進(jìn)行控制。比如，需要借助一個(gè)工具幫助實(shí)現(xiàn)一些流量的過(guò)濾。

文章插圖
?某公司為保證財(cái)務(wù)數(shù)據(jù)安全，禁止研發(fā)部門訪問(wèn)財(cái)務(wù)服務(wù)器，但總裁辦公室不受限制。
ACL概述
?通過(guò)ACL可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中報(bào)文流的精確識(shí)別和控制，達(dá)到控制網(wǎng)絡(luò)訪問(wèn)行為、防止網(wǎng)絡(luò)攻擊和提高網(wǎng)絡(luò)帶寬利用率的目的，從而切實(shí)保障網(wǎng)絡(luò)環(huán)境的安全性和網(wǎng)絡(luò)服務(wù)質(zhì)量的可靠性。
?ACL是由permit或deny語(yǔ)句組成的一系列有順序的規(guī)則的集合；它通過(guò)匹配報(bào)文的相關(guān)字段實(shí)現(xiàn)對(duì)報(bào)文的分類。
?ACL是能夠匹配一個(gè)IP數(shù)據(jù)包中的源IP地址、目的IP地址、協(xié)議類型、源目的端口等元素的基礎(chǔ)性工具；ACL還能夠用于匹配路由條目。
?在本章課程中主要通過(guò)流量過(guò)濾來(lái)介紹ACL 。
?ACL是由一系列permit或deny語(yǔ)句組成的、有序規(guī)則的列表。
?ACL是一個(gè)匹配工具，能夠?qū)?bào)文進(jìn)行匹配和區(qū)分。

文章插圖
ACL應(yīng)用
?匹配IP流量
?在Traffic-filter中被調(diào)用
?在NAT（Network Address Translation）中被調(diào)用
?在路由策略中被調(diào)用
?在防火墻的策略部署中被調(diào)用
?在QoS中被調(diào)用
?其他……
ACL的組成
?ACL的組成：
?ACL編號(hào)：在網(wǎng)絡(luò)設(shè)備上配置ACL時(shí)，每個(gè)ACL都需要分配一個(gè)編號(hào) ，稱為ACL編號(hào)，用來(lái)標(biāo)識(shí)ACL 。不同分類的ACL編號(hào)范圍不同，這個(gè)后面具體講。
?規(guī)則：前面提到了，一個(gè)ACL通常由若干條“permit/deny”語(yǔ)句組成，每條語(yǔ)句就是該ACL的一條規(guī)則。
?規(guī)則編號(hào)：每條規(guī)則都有一個(gè)相應(yīng)的編號(hào)，稱為規(guī)則編號(hào)，用來(lái)標(biāo)識(shí)ACL規(guī)則。可以自定義，也可以系統(tǒng)自動(dòng)分配。ACL規(guī)則的編號(hào)范圍是0～4294967294，所有規(guī)則均按照規(guī)則編號(hào)從小到大進(jìn)行排序。
?動(dòng)作：每條規(guī)則中的permit或deny，就是與這條規(guī)則相對(duì)應(yīng)的處理動(dòng)作。permit指“允許”，deny指“拒絕”，但是ACL一般是結(jié)合其他技術(shù)使用，不同的場(chǎng)景，處理動(dòng)作的含義也有所不同。
?比如：ACL如果與流量過(guò)濾技術(shù)結(jié)合使用（即流量過(guò)濾中調(diào)用ACL），permit就是“允許通行”的意思，deny就是“拒絕通行”的意思。
?匹配項(xiàng)：ACL定義了極其豐富的匹配項(xiàng) 。例子中體現(xiàn)的源地址，ACL還支持很多其他規(guī)則匹配項(xiàng) 。例如，二層以太網(wǎng)幀頭信息（如源MAC、目的MAC、以太幀協(xié)議類型）、三層報(bào)文信息（如目的地址、協(xié)議類型）以及四層報(bào)文信息（如TCP/UDP端口號(hào)）等。
?提問(wèn)：rule 5 permit source 1.1.1.0 0.0.0.255 是什么意思？這個(gè)在后續(xù)課程中會(huì)介紹。
?ACL由若干條permit或deny語(yǔ)句組成。每條語(yǔ)句就是該ACL的一條規(guī)則，每條語(yǔ)句中的permit或deny就是與這條規(guī)則相對(duì)應(yīng)的處理動(dòng)作。

文章插圖
規(guī)則編號(hào)
?規(guī)則編號(hào)和步長(zhǎng)的概念：
?規(guī)則編號(hào)：每條規(guī)則都有一個(gè)相應(yīng)的編號(hào) ，稱為規(guī)則編號(hào)，用來(lái)標(biāo)識(shí)ACL規(guī)則。可以自定義，也可以系統(tǒng)自動(dòng)分配。
?步長(zhǎng)：系統(tǒng)自動(dòng)為ACL規(guī)則分配編號(hào)時(shí)，每個(gè)相鄰規(guī)則編號(hào)之間會(huì)有一個(gè)差值，這個(gè)差值稱為“步長(zhǎng)” 。缺省步長(zhǎng)為5，所以規(guī)則編號(hào)就是5/10/15…以此類推。
?如果手工指定了一條規(guī)則，但未指定規(guī)則編號(hào)，系統(tǒng)就會(huì)使用大于當(dāng)前ACL內(nèi)最大規(guī)則編號(hào)且是步長(zhǎng)整數(shù)倍的最小整數(shù)作為規(guī)則編號(hào) 。
?步長(zhǎng)可以調(diào)整，如果將步長(zhǎng)改為2，系統(tǒng)則會(huì)自動(dòng)從當(dāng)前步長(zhǎng)值開(kāi)始重新排列規(guī)則編號(hào)，規(guī)則編號(hào)就變成2、4、6… 。
?那步長(zhǎng)的作用是什么？直接rule 1/2/3/4…為什么不可以？
?先來(lái)看一個(gè)小題目：如果希望增加一條規(guī)則，該如何處理？
?可以在rule 10和rule 15之間，手工加入一條rule 11 。
?因此，設(shè)置一定長(zhǎng)度的步長(zhǎng)的作用，是方便后續(xù)在舊規(guī)則之間插入新的規(guī)則。

文章插圖
規(guī)則編號(hào)與步長(zhǎng)
?規(guī)則編號(hào)（Rule ID）：
一個(gè)ACL中的每一條規(guī)則都有一個(gè)相應(yīng)的編號(hào) 。
?步長(zhǎng)（Step）:
步長(zhǎng)是系統(tǒng)自動(dòng)為ACL規(guī)則分配編號(hào)時(shí)，每個(gè)相鄰規(guī)則編號(hào)之間的差值，缺省值為5 。步長(zhǎng)的作用是為了方便后續(xù)在舊規(guī)則之間，插入新的規(guī)則。
?Rule ID分配規(guī)則：
系統(tǒng)為ACL中首條未手工指定編號(hào)的規(guī)則分配編號(hào)時(shí)，使用步長(zhǎng)值（例如步長(zhǎng)=5，首條規(guī)則編號(hào)為5）作為該規(guī)則的起始編號(hào)；為后續(xù)規(guī)則分配編號(hào)時(shí) ，則使用大于當(dāng)前ACL內(nèi)最大規(guī)則編號(hào)且是步長(zhǎng)整數(shù)倍的最小整數(shù)作為規(guī)則編號(hào) 。
通配符 (1)
?當(dāng)進(jìn)行IP地址匹配的時(shí)候，后面會(huì)跟著32位掩碼位，這32位稱為通配符。
?通配符，也是點(diǎn)分十進(jìn)制格式，換算成二進(jìn)制后，“0”表示“匹配”，“1”表示“不關(guān)心” 。
?具體看下這2條規(guī)則：
?rule 5: 拒絕源IP地址為10.1.1.1報(bào)文通過(guò)——因?yàn)橥ㄅ浞麨槿? ，所以每一位都要嚴(yán)格匹配，因此匹配的是主機(jī)IP地址10.1.1.1；
?rule 15:允許源IP地址為10.1.1.0/24網(wǎng)段地址的報(bào)文通過(guò)——因?yàn)橥ㄅ浞?.0.0.11111111，后8位為1，表示不關(guān)心，因此10.1.1.xxxxxxxx 的后8位可以為任意值，所以匹配的是10.1.1.0/24網(wǎng)段。
?例子：如果要精確匹配192.168.1.1/24這個(gè)IP地址對(duì)應(yīng)的網(wǎng)段地址，通配符是多少？
?可以得出：網(wǎng)絡(luò)位需要嚴(yán)格匹配，主機(jī)位無(wú)所謂，因此通配符為“0.0.0.255” 。

文章插圖
匹配規(guī)則：
“0”表示“匹配”；“1”表示“隨機(jī)分配”

文章插圖
通配符 (Wildcard)
?通配符是一個(gè)32比特長(zhǎng)度的數(shù)值，用于指示IP地址中，哪些比特位需要嚴(yán)格匹配，哪些比特位無(wú)需匹配。
?通配符通常采用類似網(wǎng)絡(luò)掩碼的點(diǎn)分十進(jìn)制形式表示，但是含義卻與網(wǎng)絡(luò)掩碼完全不同。
通配符 (2)
?如果想匹配192.168.1.0/24網(wǎng)段中的奇數(shù)IP地址，通配符該怎么寫(xiě)呢？
?我們先來(lái)看一看，奇數(shù)IP地址都有哪些：192.168.1.1、192.168.1.5、192.168.1.11……
?后八位寫(xiě)成二進(jìn)制：192.168.1.00000001、192.168.1.00000101、192.168.1.00001011……
?可以看出共同點(diǎn)：最后8位的高7位是任意值，最低位固定為1，因此答案是：192.168.1.1 0.0.0.254（0.0.0.11111110）
?這就得出了通配符的一個(gè)特點(diǎn)：通配符中的1或者0是可以不連續(xù)的。
?還有兩個(gè)特殊的通配符：
?當(dāng)通配符全為0來(lái)匹配IP地址時(shí) ，表示精確匹配某個(gè)IP地址；
?當(dāng)通配符全為1來(lái)匹配0.0.0.0地址時(shí)，表示匹配了所有IP地址。

文章插圖
?匹配192.168.1.0/24這個(gè)子網(wǎng)中的奇數(shù)IP地址，例如192.168.1.1、192.168.1.3、192.168.1.5等。
ACL的分類與標(biāo)識(shí)
?基于ACL規(guī)則定義方式的劃分，可分為：
?基本ACL、高級(jí)ACL、二層ACL、用戶自定義ACL和用戶ACL 。
?基于ACL標(biāo)識(shí)方法的劃分，則可分為：
?數(shù)字型ACL和命名型ACL 。
?注意：用戶在創(chuàng)建ACL時(shí)可以為其指定編號(hào)，不同的編號(hào)對(duì)應(yīng)不同類型的ACL 。同時(shí)，為了便于記憶和識(shí)別，用戶還可以創(chuàng)建命名型ACL，即在創(chuàng)建ACL時(shí)為其設(shè)置名稱。命名型ACL，也可以是“名稱數(shù)字”的形式，即在定義命名型ACL時(shí) ，同時(shí)指定ACL編號(hào) 。如果不指定編號(hào)，系統(tǒng)則會(huì)自動(dòng)為其分配一個(gè)數(shù)字型ACL的編號(hào) 。
?基于ACL規(guī)則定義方式的分類
分類
編號(hào)范圍
規(guī)則定義描述
基本ACL
2000~2999
僅使用報(bào)文的源IP地址、分片信息和生效時(shí)間段信息來(lái)定義規(guī)則。
高級(jí)ACL
3000~3999
可使用IPv4報(bào)文的源IP地址、目的IP地址、IP協(xié)議類型、ICMP類型、TCP源/目的端口號(hào)、UDP源/目的端口號(hào)、生效時(shí)間段等來(lái)定義規(guī)則。
二層ACL
4000~4999
使用報(bào)文的以太網(wǎng)幀頭信息來(lái)定義規(guī)則，如根據(jù)源MAC地址、目的MAC地址、二層協(xié)議類型等。
用戶自定義ACL
5000~5999
使用報(bào)文頭、偏移位置、字符串掩碼和用戶自定義字符串來(lái)定義規(guī)則。
用戶ACL
6000~6999
既可使用IPv4報(bào)文的源IP地址或源UCL（User Control List）組，也可使用目的IP地址或目的UCL組、IP協(xié)議類型、ICMP類型、TCP源端口/目的端口、UDP源端口/目的端口號(hào)等來(lái)定義規(guī)則。
基于ACL標(biāo)識(shí)方法的分類
分類
規(guī)則定義描述
數(shù)字型ACL
傳統(tǒng)的ACL標(biāo)識(shí)方法。創(chuàng)建ACL時(shí) ，指定一個(gè)唯一的數(shù)字標(biāo)識(shí)該ACL 。
命名型ACL
通過(guò)名稱代替編號(hào)來(lái)標(biāo)識(shí)ACL 。
基本ACL&高級(jí)ACL
?基本ACL：
?主要針對(duì)IP報(bào)文的源IP地址進(jìn)行匹配，基本ACL的編號(hào)范圍是2000-2999 。
?比如這個(gè)例子，創(chuàng)建的是acl 2000，就意味著創(chuàng)建的是基本ACL 。
?高級(jí)ACL：
?可以根據(jù)IP報(bào)文中的源IP地址、目的IP地址、協(xié)議類型，TCP或UDP的源目端口號(hào)等元素進(jìn)行匹配，可以理解為：基本ACL是高級(jí)ACL的一個(gè)子集，高級(jí)ACL可以比基本ACL定義出更精確、更復(fù)雜、更靈活的規(guī)則。

文章插圖
ACL的匹配機(jī)制
?ACL的匹配機(jī)制概括來(lái)說(shuō)就是：
?配置ACL的設(shè)備接收?qǐng)?bào)文后，會(huì)將該報(bào)文與ACL中的規(guī)則逐條進(jìn)行匹配，如果不能匹配上，就會(huì)繼續(xù)嘗試去匹配下一條規(guī)則。
?一旦匹配上，則設(shè)備會(huì)對(duì)該報(bào)文執(zhí)行這條規(guī)則中定義的處理動(dòng)作，并且不再繼續(xù)嘗試與后續(xù)規(guī)則匹配。
?匹配流程：首先系統(tǒng)會(huì)查找設(shè)備上是否配置了ACL 。
?如果ACL不存在，則返回ACL匹配結(jié)果為：不匹配。
?如果ACL存在，則查找設(shè)備是否配置了ACL規(guī)則。
?如果規(guī)則不存在，則返回ACL匹配結(jié)果為：不匹配。
?如果規(guī)則存在，則系統(tǒng)會(huì)從ACL中編號(hào)最小的規(guī)則開(kāi)始查找。
?如果匹配上了permit規(guī)則，則停止查找規(guī)則，并返回ACL匹配結(jié)果為：匹配（允許）。
?如果匹配上了deny規(guī)則，則停止查找規(guī)則，并返回ACL匹配結(jié)果為：匹配（拒絕）。
?如果未匹配上規(guī)則，則繼續(xù)查找下一條規(guī)則，以此循環(huán) 。如果一直查到最后一條規(guī)則，報(bào)文仍未匹配上，則返回ACL匹配結(jié)果為：不匹配。
?從整個(gè)ACL匹配流程可以看出，報(bào)文與ACL規(guī)則匹配后，會(huì)產(chǎn)生兩種匹配結(jié)果：“匹配”和“不匹配” 。
?匹配（命中規(guī)則）：指存在ACL，且在ACL中查找到了符合匹配條件的規(guī)則。不論匹配的動(dòng)作是“permit”還是“deny”，都稱為“匹配”，而不是只是匹配上permit規(guī)則才算“匹配” 。
?不匹配（未命中規(guī)則）：指不存在ACL，或ACL中無(wú)規(guī)則，再或者在ACL中遍歷了所有規(guī)則都沒(méi)有找到符合匹配條件的規(guī)則。以上三種情況，都叫做“不匹配” 。
?匹配原則：一旦命中即停止匹配。

文章插圖
ACL的匹配順序及匹配結(jié)果
?配置順序（config模式）
?系統(tǒng)按照ACL規(guī)則編號(hào)從小到大的順序進(jìn)行報(bào)文匹配，規(guī)則編號(hào)越小越容易被匹配。

文章插圖
?一條ACL可以由多條“deny或permit”語(yǔ)句組成，每一條語(yǔ)句描述一條規(guī)則，這些規(guī)則可能存在包含關(guān)系，也可能有重復(fù)或矛盾的地方，因此ACL的匹配順序是十分重要的。
?華為設(shè)備支持兩種匹配順序：自動(dòng)排序（auto模式）和配置順序（config模式）。缺省的ACL匹配順序是config模式。
?自動(dòng)排序，是指系統(tǒng)使用“深度優(yōu)先”的原則，將規(guī)則按照精確度從高到低進(jìn)行排序，并按照精確度從高到低的順序進(jìn)行報(bào)文匹配。——這個(gè)比較復(fù)雜，這里就不具體展開(kāi)了，感興趣的同學(xué)可以課后查看資料。
?配置順序，系統(tǒng)按照ACL規(guī)則編號(hào)從小到大的順序進(jìn)行報(bào)文匹配，規(guī)則編號(hào)越小越容易被匹配。——這個(gè)就是我們前面提到的匹配順序。
?如果后面又添加了一條規(guī)則，則這條規(guī)則會(huì)被加入到相應(yīng)的位置，報(bào)文仍然會(huì)按照從小到大的順序進(jìn)行匹配。
?匹配結(jié)果：（如圖所示，以192.168.1.3/24為例）
?首先理解ACL 2000的含義：
?rule 1：允許源IP地址為192.168.1.1的報(bào)文
?rule 2：允許源IP地址為192.168.1.2的報(bào)文
?rule 3：拒絕源IP地址為192.168.1.2的報(bào)文
?rule 4：允許其他所有IP地址的報(bào)文
ACL的匹配位置

文章插圖
入站 (Inbound)及出站 (Outbound)方向

文章插圖
基本ACL的基礎(chǔ)配置命令
?創(chuàng)建基本ACL
?[Huawei] acl [ number ] acl-number [ match-order config ]
?