HCIA【ACL】

目录

１ ACL功能

1.1 访问控制 （ACL+Packet-filter[包过滤]）

1.2 流量控制（ACL+QOS[服务质量]）

1.3 路由控制（ACL+Route-Poilcy[路由策略]）

2 ACL组成

3 ACL分类

4 匹配机制

１ ACL功能

ACL 访问控制列表，根据预定义对规则数包的匹配和筛选，实现对于网络流量的精确控制

1.1 访问控制 （ACL+Packet-filter[包过滤]）

功能：限制或者允许特定源或目的IP地址、端口号、协议类型等的流量通过

原理：通过配置规则允许或拒绝的流量特征，设备根据规则逐一匹配数据包，符合条件的执行相应的动作

应用场景：防止未授权的访问、限制内部网络访问外部特定网站等

1.2 流量控制（ACL+QOS[服务质量]）

功能：对于特定流量进行限速或者优先级的调整，防止网络拥塞，保障关键业务流量等

原理：结合ACL和和流量监管技术，对匹配的ACL流量进行速率限制或者是优先级的标志

应用场景：限制P2P下载流量、保障视频会议流量等

1.3 路由控制（ACL+Route-Poilcy[路由策略]）

功能：控制路由信息的传播和选择，影响网络拓扑和路由策略

原理：使用ACL过滤路由信息，决定那些路由信息可以被接受或发送

应用场景：在BGP或OSPF中实现路由策略、过滤路由等

2 ACL组成

组成：由若干条permit或deny语句组成，每一条语句就是一条规则

语句形式：

例如：

rule   permit source 192.168.1.0 0.0.0.255

rule deny source 172.16.0.0 0.0.255.255

通配符（反掩码）：0表示严格匹配，1表示随意匹配

3 ACL分类

基本ACL：只关心报文的源地址，规则简单，适用于基于源地址的流量控制；编号2000-2999

高级ACL：对于数据包的五元组（源IP、目标IP、源端口、目标端口、协议类型）进行检测；编号3000-3999

二层ACL：检测二层帧的头部信息，源MAC\目标MAC\二层协议类型等；编号4000-4999

用户自定义ACL：使用报文头部、字符串掩码和用户自定义的字符串来定义规则；编号5000-5999

4 匹配机制

包过滤方向：

出方向：数据流出的方向

入方向：数据流入的方向

PS：包过滤必须配置在接口的某一个方向才能生效，一个接口的一个方向只能配置一个包过滤策略；建议包过滤尽量配置在离源地址最近的接口的入方向

配置机制：

[1]数据包到达接口先检查是否应用ACL

[2]按照ACL的编号顺序（从小到大）匹配第一条规则，匹配进一步检查该规则的动作，否则与下一条规则进行匹配

[3]所有规则都不匹配的时候，匹配默认动作，默认动作允许则放行，默认动作拒绝则丢弃