訪問控制列表ACL(Access Control List)就是利用IP數據包中的元素來匹配數據包,所以ACL可以通過匹配IP報文中的5元素來對數據包實施“允許”“拒絕”等操作。
IP數據包中的元素,以承載TCP協議的IP數據包為例,它包含如下圖所示的5個元素,這5個元素的組合能標識某數據包來龍(即源地址、源端口)去脈(即目的地址、目的端口)和通信方式(協議號),從而唯一標識了某類數據包。
例如可以用ACL描述:不讓任何終端使用Telnet登錄,或者可以讓每個終端經由SMTP向我們發送電子郵件。
ACL的類型根據不同的划分規則可以有不同的分類,具體參見表。
| 划分規則 |
分類 |
應用場景 |
說明 |
|---|---|---|---|
| 對IPv4和IPv6的支持 |
ACL4 |
IPv4的應用場景 |
相對的命令行ACL4和ACL6會有差異 |
| ACL6 |
IPv6的應用場景 |
相對的命令行ACL4和ACL6會有差異 |
|
| 按照命名方式 |
數字ACL |
傳統的ACL標識方法,用戶創建ACL時,指定一個唯一的數字標識,后續的操作可以通過這個唯一的數字標識對ACL進行相關的操作。 |
- |
| 名字ACL |
用戶在創建ACL時,可以為ACL指定一個名稱。后續的操作可以通過這個唯一的名稱確定一個ACL,從而對其進行相關操作。 名稱相對於數字來說具有更為直觀的標識和記憶的效果,S2700-52P-EI提供了靈活的ACL命令方式。 |
當前在指定名字ACL的同時,也可以同時配置數字ACL。如果沒有配置數字ACL,在系統在記錄此名字ACL會分配一個數字ACL的編號給該名字ACL。 ACL名稱在IPv4和IPv6內分別全局唯一,互不影響。 |
|
| 按照ACL規則的功能 |
基本ACL |
僅使用報文的源IP地址、分片標記和時間段信息來定義規則。 |
編號范圍為2000~2999。 |
| 高級ACL |
既可使用報文的源IP地址,也可使用目的地址、IP優先級、ToS、DSCP、IP協議類型、ICMP類型、TCP源端口/目的端口、UDP源端口/目的端口號等來定義規則。 高級訪問控制列表可以定義比基本訪問控制列表更准確、更豐富、更靈活的規則。 |
編號范圍為3000~3999。 |
|
| 二層ACL |
可根據報文的以太網幀頭信息來定義規則,如根據源MAC地址、目的MAC地址、以太幀協議類型等。 |
編號范圍為4000~4999。 |
|
| 自定義ACL |
可根據偏移位置和偏移量從報文中提取出一段內容進行匹配。 |
編號范圍為5000~5999。 |
目的
ACL是指通過配置的一系列匹配規則對特定的數據包進行過濾,從而識別需要過濾的對象。在識別出特定的對象之后,根據預先設定的策略允許或禁止相應的數據包通過。
S2700-52P-EI通過配置一系列的規則,以選擇數據包,這些規則就是通過訪問控制列表ACL定義的。
ACL規則可作為一種基礎的資源被應用模塊引用:
-
策略路由
-
路由過濾
-
QoS
-
MQC(Modular QoS Command Line)
-
設備安全
作為S2700-52P-EI實現的流分類策略,可以針對L2/L3報文進行分類,如果需要進行L2+L3的混合分類,則需要使用MQC對ACL進行組合。