ACL

ACL技术背景 网络安全和网络服务质量 QoS(Quality of Service)问题日益突出:园区内重要的服务器被随意访问容易导致机密信息泄露;网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽无法保障,用户的体验较差。需要一些过滤流量的工具帮助我们解决这些问题。 ACL(Access Control List) 是一个匹配工具,可以对报文进行匹配和区分,它是由一系列 permit 或 deny 语句组成的、有序规则的列表 ACL组成 ACL 由若干条 permit 和 deny 组成,每条语句就是该 ACL 一条规则,permit 或 deny 就是这条规则对应的处理动作 ACL 编号:用于标识 ACL,不同分类的 ACL 编号范围不同。 规则:一条语句就是一条规则。 规则编号:每条规则有一个对应的编号,用于标识 ACL 规则,ACL 规则编号范围是 $0\sim2^{32}-2$ ,所有规则按照规则编号从小到大进行排序 动作:每条规则中的 permit 或 deny,对应允许或拒绝。 匹配项:ACL 支持各种匹配项,例如 源目 MAC 、源目 IP 、以太帧协议类型、协议类型、 TCP/UDP 端口号等等。 规则编号 规则编号可以由系统自动分配,也可以手动编号。当选择系统自动分配时,每个相邻规则编号之间有一个差值,称为“步长”,缺省下步长为5,因此规则编号为5/10/15… 如果手工指定了一条规则,但未指定规则编号,系统就会使用大于当前 ACL 内最大规则编号且时不常整数倍的最小整数作为规则编号,例如当前最大规则号为10,步长为5,则新增的规则的编号为15 步长可以调整 (基本 ACL6 和高级 ACL6 除外),步长调整后系统自动从当前步长值开始重新排列规则编号,变为2/4/6… 步长的作用是为了方便在旧规则后插入新的规则,例如在 rule 5 和 rule 10 之间手动插入 rule 6 通配符 通配符是一个32比特长度的数值,用点分十进制表示,跟在 ip 地址后面,看起来很像反掩码(其实反掩码也可以用通配符来理解,就是0和1不能随意穿插的特殊通配符),但实际上并不是,它的匹配规则是:0为严格匹配,1为任意,得到 ip 地址中哪些比特位需要匹配,哪些不需要,也就是说 0 和 1 可以任意穿插,而不是像子网掩码那样先1后0。...

更新: 2021-12-07 · 创建: 2021-12-07 · 2 分钟 · McLsk888