随着网络的飞速发展，网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。ACL可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

学习本章内容后，我们应该能够：

• • 理解ACL技术概念
  • 理解ACL的基本原理
  • 掌握ACL的基本配置

12.1 ACL的技术概念

访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

如图12-1所示，某企业为保证财务数据安全，禁止研发部门访问财务服务器，但总裁办公室不受限制。我们可以在Interface 1的入方向上部署ACL，禁止研发部门访问财务服务器的报文通过，Interface 2上无需部署ACL，总裁办公室访问财务服务器的报文默认允许通过。在Interface 3的入方向上部署ACL，防止病毒通过该接口入侵。

图12-1 某企业拓扑结构

12.2 ACL的基本原理

12.2.1 ACL的组成

一条ACL的结构组成如图12-2所示，

                                                图12-2 ACL的结构组成

• ACL名称：通过名称来标识ACL，就像用域名代替IP地址一样，更加方便记忆。这种ACL，称为命名型ACL。
• ACL编号：用于标识ACL，也可以单独使用ACL编号，表明该ACL是数字型。
• 规则：即描述报文匹配条件的判断语句。
• 规则编号：用于标识ACL规则。可以自行配置规则编号，也可以由系统自动分配。
• 动作：报文处理动作，包括permit/deny两种，表示允许/拒绝。
• 匹配项：ACL定义了极其丰富的匹配项。除了图12-2中的源地址和生效时间段，ACL还支持很多其他规则匹配项。

12.2.2 ACL的专业术语

1. 规则编号

每条规则都有一个相应的编号，称为规则编号，用来标识ACL规则。可以自定义，也可以系统自动分配。系统自动为ACL规则分配编号时，每个相邻规则编号之间会有一个差值，这个差值称为“步长”。缺省步长为5，所以规则编号就是5/10/15…以此类推，如图12-3所示，

图12-3 规则编号

1. 通配符

通配符是一个32比特长度的数值，用于指示IP地址中，哪些比特位需要严格匹配，哪些比特位无需匹配，换算成二进制后，“0”表示“匹配”，“1”表示“不关心”。如图12-3中的rule 15 permit source 10.1.1.0 0.0.0.255中0.0.0.255为通配符，前面24位为0，代表严格匹配，后面8位为1代表任意匹配，所以是允许10.1.1.0/24位。

12.2.3 ACL的分类

1. 基于ACL规则定义方式的划分，可分为：基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL。它们的编号范围和规则如图12-4所示，

                                            图12-4 基于ACL规则定义方式的分类

1. 基于ACL标识方法的划分，则可分为：数字型ACL和命名型ACL，如图12-5所示，

   

图12-5 基于ACL标识方法的划分

 本文出自作者的《HCIA Datacom学习指南》
https://item.jd.com/14032255.html

在文章最后加作者VX：可以免费领取以下资料