- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
18-ACL
本章節下載: 18-ACL (250.91 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ ACL分類
○ ACL規則編號
ACL(Access Control List,訪問控製列表)是一或多條規則的集合,用於識別報文流。這裏的規則是指描述報文匹配條件的判斷語句,匹配條件可以是報文的源地址、目的地址、端口號等。設備依照這些規則識別出特定的報文,並根據預先設定的策略對其進行處理。
ACL包括下表所列的幾種類型,它們的主要區別在於規則製訂依據不同:
表-1 ACL的分類
|
ACL類型 |
規則製定依據 |
|
|
IPv4 ACL |
基本ACL |
依據報文的源IPv4地址製訂規則 |
|
高級ACL |
依據報文的源/目的IPv4地址、源/目的端口號、優先級、承載的IPv4協議類型等三、四層信息製訂規則 |
|
|
IPv6 ACL |
基本ACL |
依據報文的源IPv6地址製訂規則 |
|
高級ACL |
依據報文的源/目的IPv6地址、源/目的端口號、優先級、承載的IPv6協議類型等三、四層信息製訂規則 |
|
|
二層 ACL |
依據報文的源/目的MAC地址、802.1p優先級、鏈路層協議類型等二層信息 |
|
|
自定義ACL |
以報文頭為基準,指定從報文的第幾個字節開始與掩碼進行"與"操作,並將提取出的字符串與用戶定義的字符串進行比較,從而找出相匹配的報文 |
|
一個ACL中可以包含多條規則,設備將報文按照一定順序與這些規則進行匹配,一旦匹配上某條規則便結束匹配過程。規則匹配順序有兩種:
· 配置順序:按照規則編號由小到大進行匹配。
· 自動排序:按照“深度優先”原則由深到淺進行匹配,見下表(自定義ACL不支持自動排序):
表-2 各類型ACL的“深度優先”排序法則
|
ACL類型 |
排序法則 |
|
|
IPv4 ACL |
基本ACL |
1. 先判斷規則的匹配條件中是否包含VPN實例,包含者優先 2. 如果VPN實例的包含情況相同,再比較源IPv4地址範圍,較小者優先 3. 如果源IPv4地址範圍也相同,再比較配置的先後次序,先配置者優先 |
|
高級ACL |
1. 先判斷規則的匹配條件中是否包含VPN實例,包含者優先 2. 如果VPN實例的包含情況相同,再比較協議範圍,指定有IPv4承載的協議類型者優先 3. 如果協議範圍相同,再比較源IPv4地址範圍,較小者優先 4. 如果源IPv4地址範圍也相同,再比較目的IPv4地址範圍,較小者優先 5. 如果目的IPv4地址範圍也相同,再比較TCP/UDP端口號的覆蓋範圍,較小者優先 6. 如果TCP/UDP端口號的覆蓋範圍無法比較,則比較配置的先後次序,先配置者優先 |
|
|
IPv6 ACL |
基本ACL |
1. 先判斷規則的匹配條件中是否包含VPN實例,包含者優先 2. 如果VPN實例的包含情況相同,再比較源IPv6地址的範圍,較小者(即前綴較長者)優先 3. 如果源IPv6地址範圍相同,再比較配置的先後次序,先配置者優先 |
|
高級ACL |
1. 先判斷規則的匹配條件中是否包含VPN實例,包含者優先 2. 如果VPN實例的包含情況相同,再比較協議範圍,指定有IPv6承載的協議類型者優先 3. 如果協議範圍相同,再比較源IPv6地址範圍,較小者優先 4. 如果源IPv6地址範圍也相同,再比較目的IPv6地址範圍,較小者優先 5. 如果目的IPv6地址範圍也相同,再比較TCP/UDP端口號的覆蓋範圍,較小者優先 6. 如果TCP/UDP端口號的覆蓋範圍無法比較,則比較配置的先後次序,先配置者優先 |
|
|
二層 ACL |
1. 先比較源MAC地址範圍,較小者(即掩碼中"1"位較多者)優先 2. 如果源MAC地址範圍相同,再比較目的MAC地址範圍,較小者優先 3. 如果目的MAC地址範圍也相同,再比較配置的先後次序,先配置者優先 |
|
每條規則都有自己的編號,這個編號可由手工指定或由係統自動分配。由於規則編號可能影響規則的匹配順序,因此當係統自動分配編號時,為方便後續在已有規則之間插入新規則,通常在相鄰編號之間留有一定空間,這就是規則編號的步長。係統自動分配編號的方式為:從0開始,按照步長分配一個大於現有最大編號的最小編號。比如原有編號為0、5、9、10和12的五條規則,步長為5,則係統將自動為下一條規則分配編號15。如果步長發生了改變,則原有全部規則的編號都將自動從0開始按新步長重新排列。比如原有編號為0、5、9、10和15的五條規則,當步長變為2後,這些規則的編號將依次變為0、2、4、6和8。
· ACL既可以在本頁麵創建,也可以在引用ACL的特性頁麵創建。不論通過哪種方式創建的ACL都隻能在本頁麵進行管理(如修改和刪除ACL)。
· 刪除或修改ACL可能會對引用該ACL的業務造成影響,請謹慎刪除或修改ACL。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
