ACL

ACL技术背景 网络安全和网络服务质量 QoS（Quality of Service）问题日益突出：园区内重要的服务器被随意访问容易导致机密信息泄露；网络带宽被各类业务随意挤占，服务质量要求最高的语音、视频业务的带宽无法保障，用户的体验较差。需要一些过滤流量的工具帮助我们解决这些问题。 ACL（Access Control List） 是一个匹配工具，可以对报文进行匹配和区分，它是由一系列 permit 或 deny 语句组成的、有序规则的列表 ACL组成 ACL 由若干条 permit 和 deny 组成，每条语句就是该 ACL 一条规则，permit 或 deny 就是这条规则对应的处理动作 ACL 编号：用于标识 ACL，不同分类的 ACL 编号范围不同。 规则：一条语句就是一条规则。 规则编号：每条规则有一个对应的编号，用于标识 ACL 规则，ACL 规则编号范围是 $0\sim2^{32}-2$ ，所有规则按照规则编号从小到大进行排序 动作：每条规则中的 permit 或 deny，对应允许或拒绝。 匹配项：ACL 支持各种匹配项，例如 源目 MAC 、源目 IP 、以太帧协议类型、协议类型、 TCP/UDP 端口号等等。 规则编号 规则编号可以由系统自动分配，也可以手动编号。当选择系统自动分配时，每个相邻规则编号之间有一个差值，称为“步长”，缺省下步长为5，因此规则编号为5/10/15… 如果手工指定了一条规则，但未指定规则编号，系统就会使用大于当前 ACL 内最大规则编号且时不常整数倍的最小整数作为规则编号，例如当前最大规则号为10，步长为5，则新增的规则的编号为15 步长可以调整 (基本 ACL6 和高级 ACL6 除外)，步长调整后系统自动从当前步长值开始重新排列规则编号，变为2/4/6… 步长的作用是为了方便在旧规则后插入新的规则，例如在 rule 5 和 rule 10 之间手动插入 rule 6 通配符 通配符是一个32比特长度的数值，用点分十进制表示，跟在 ip 地址后面，看起来很像反掩码(其实反掩码也可以用通配符来理解，就是0和1不能随意穿插的特殊通配符)，但实际上并不是，它的匹配规则是：0为严格匹配，1为任意，得到 ip 地址中哪些比特位需要匹配，哪些不需要，也就是说 0 和 1 可以任意穿插，而不是像子网掩码那样先1后0。...