细说ACL的那些事儿——访问控制列表

闫辉

传闻江湖乱世之时，出现了一门奇门妙计曰为“ACL”，其变化多端，神鬼莫测，让人捉摸不透，若是能在交换机上或者是路由器上轻轻松松的使上一招，便能平定江湖的腥风血雨。

所以这个ACL在江湖上被评为一段佳话。但是为什么ACL能有这么大的魔力呢，今天小老虎就带你了解了解。

ACL，Acess Control List的简称，中文名称访问控制列表，它是由一系列的规则组成（即匹配报文的一系列条件），这些条件可以是源ip地址，目的ip地址，端口号等。

这样说的话，大家是不是有点不太明白的了，那我们换个说法。

打个比方，ACL就像是个过滤器，ACL各式各样的规则就是过滤器的滤芯，安装什么样的滤芯（即根据报文的性质制定ACL的规则），ACL就能过滤什么样的报文的。

基于过滤的报文，我们可以阻塞攻击的报文，为不同的流量提供不同的差分服务，对telnet登陆/Ftp的文件下载进行控制等，可以提高网络环境的安全性和网络传输的可靠性。

                               
登录/注册后可看大图

现在我们来简单的介绍下ACL中所含参数的含义：

1

ACL的类型

首先，图中是一个数字型ACL，ACL编号是2000，这个类似于人类的身份证号，用来唯一标识自己的身份，当然，每个人出了自己的身份证标明自己外还有自己的名字的，ACL除了数字型的ACL外还有命名式的ACL。

命名式ACL是一个名字+数字的格式，可以在定义ACL的名字时同时也可以指定ACL的编号。如果不指定编号，则使用系统的默认编号。

实际上，按照ACL规则功能的不同，ACL划分成基本ACL，高级ACL，二层ACL，用户自定义ACL和用户ACL这五种类型，每种类型的ACL对应的ACL的编号是不同的，见下图：

                               
登录/注册后可看大图

                               
登录/注册后可看大图

2

ACL规则

现在，我们来看看图中ACL语句中的“pemit/deny”语句，这些个条件语句，我们称之为ACL的规则，其中的permi/deny，是称为ACL的动作，表示的意思是拒绝和允许。

每条规则都有自己的编号，比如：5,10,15，这些编号可以自己手工去分配，也可以系统去自动分配的，那系统是怎么样分配的呢？

ACL规则的编号是从0~4294967294，所有的规则系统都是从小到大的顺序进行排序，系统按照编号从小到大的顺序依次匹配报文，一旦匹配上一条规则，即刻停止匹配。

除了包含ACL动作和规则编号，我们还是可以看到ACL规则中还定义了源地址、生效时间段这样的字段，这些字段，称之为匹配选项，它是ACL规则的重要组成部分。

其实呢，ACL还提供了丰富的匹配选项，你可以选择二层以太网帧头信息（如源MAC，目的MAC，以太网帧的协议类型）作为匹配的选项，也是可以选择三层的报文信息（如源地址，目的地址，协议的类型）作为匹配选项，还可以选择四层的报文信息（如TCP/UDP的端口号）等等。

3

步长

步长，是指系统中自动为ACL规则分配编号时，每个相邻规则编号之间的差值，也就是说，系统是根据步长值自动为ACL规则分配编号的。ACL的缺省步长是5，通过display acl acl-number命令，可以查看ACL规则，步长等信息，通过step命令，可以修改ACL的步长值。

讲到这，设置ACL的步长有什么作用呢？

其实呢，设置步长的目的，是为了方便大家在ACL规则之间插入新的规则。

比如：

                               
登录/注册后可看大图

现在这样的一条ACL中，已经包含了三条规则5,10,15。如果你是希望源ip地址为1.1.1.4的报文报文也是禁止通过的了，我们是该如何处理的呢？

我们来分析一下，ACL的原则就是“一经命中立即停止匹配的过程”，所以源ip地址为1.1.1.1和1.1.1.2的报文，会在匹配上编号较小的rule 5和rule 10后停止匹配，从而被系统禁止通过，而源IP地址为1.1.1.4 的报文，则只会命中rule15，从而得到系统允许通过，我们要想让源ip地址为1.1.1.4的报文也是禁止通过，我们必须为该报文配置一条新的deny规则

rule 11 deny source 1.1.1.4//表示的就是禁止源IP地址为1.1.1.4的报文通过

假如，如果这条ACL规则之间的间隔不是5，而是1，这时要是想插入新的规则，那我们就只能删除已有的规则，然后在配置新的规则，最后将之前删除的规则在重新配置回来，如果这样，那我们要付出的代价可是有点大的啊。

所以，我们一定要设置ACL的步长，为规则留下一定的空间，方便我们之后插入新的规则的哦。

好啦，以上就是介绍的ACL的基础理论知识。

以上就是今天的分享啦，更多问题欢迎大家留言讨论~记得点击“在看”哦！

最后

太阁老师的个人微信

添加太阁老师个人微信领取：太阁免费视频资料、NA综合实验配置文件拓扑图及模拟器、太阁独家实验手册、网工必读书籍等

                               
登录/注册后可看大图