关于acl是什么意思（ACL原理和作用ACL类型和特点）这个很多人还不知道，今天小编来为大家解答以上的问题，现在让我们一起来看看吧！

　　•ACL可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

　　•在本章节中，将介绍ACL的基本原理和基本作用，ACL的不同种类及特点，ACL的基本组成和匹配顺序，通配符的使用方法和ACL的相关配置。

　　•随着网络的飞速发展，网络安全和网络服务质量QoS（Quality of Service）问题日益突出。

　　▫网络带宽被各类业务随意挤占，服务质量要求最高的语音、视频业务的带宽得不到保障，造成用户体验差。

　　•以上种种问题，都对正常的网络通信造成了很大的影响。因此，提高网络安全性和服务质量迫在眉睫，我们需要对网络进行控制。比如，需要借助一个工具帮助实现一些流量的过滤。

　　•某公司为保证财务数据安全，禁止研发部门访问财务服务器，但总裁办公室不受限制。

　　•通过ACL可以实现对网络中报文流的精确识别和控制，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

　　▫ACL是由permit或deny语句组成的一系列有顺序的规则的集合；它通过匹配报文的相关字段实现对报文的分类。

　　▫ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具；ACL还能够用于匹配路由条目。

　　▫ACL编号：在网络设备上配置ACL时，每个ACL都需要分配一个编号，称为ACL编号，用来标识ACL。不同分类的ACL编号范围不同，这个后面具体讲。

　　▫规则：前面提到了，一个ACL通常由若干条“permit/deny”语句组成，每条语句就是该ACL的一条规则。

　　▫规则编号：每条规则都有一个相应的编号，称为规则编号，用来标识ACL规则。可以自定义，也可以系统自动分配。ACL规则的编号范围是0～4294967294，所有规则均按照规则编号从小到大进行排序。

　　▫动作：每条规则中的permit或deny，就是与这条规则相对应的处理动作。permit指“允许”，deny指“拒绝”，但是ACL一般是结合其他技术使用，不同的场景，处理动作的含义也有所不同。

　　▪比如：ACL如果与流量过滤技术结合使用（即流量过滤中调用ACL），permit就是“允许通行”的意思，deny就是“拒绝通行”的意思。

　　▫匹配项：ACL定义了极其丰富的匹配项。例子中体现的源地址，ACL还支持很多其他规则匹配项。例如，二层以太网帧头信息（如源MAC、目的MAC、以太帧协议类型）、三层报文信息（如目的地址、协议类型）以及四层报文信息（如TCP/UDP端口号）等。

　　•ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。

　　▫规则编号：每条规则都有一个相应的编号，称为规则编号，用来标识ACL规则。可以自定义，也可以系统自动分配。

　　▫步长：系统自动为ACL规则分配编号时，每个相邻规则编号之间会有一个差值，这个差值称为“步长”。缺省步长为5，所以规则编号就是5/10/15…以此类推。

　　▪如果手工指定了一条规则，但未指定规则编号，系统就会使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。

　　▪步长可以调整，如果将步长改为2，系统则会自动从当前步长值开始重新排列规则编号，规则编号就变成2、4、6…。

　　步长是系统自动为ACL规则分配编号时，每个相邻规则编号之间的差值，缺省值为5。步长的作用是为了方便后续在旧规则之间，插入新的规则。

　　系统为ACL中首条未手工指定编号的规则分配编号时，使用步长值（例如步长=5，首条规则编号为5）作为该规则的起始编号；为后续规则分配编号时，则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。

　　•当进行IP地址匹配的时候，后面会跟着32位掩码位，这32位称为通配符。

　　•通配符，也是点分十进制格式，换算成二进制后，“0”表示“匹配”，“1”表示“不关心”。

　　▫rule 5: 拒绝源IP地址为10.1.1.1报文通过——因为通配符为全0，所以每一位都要严格匹配，因此匹配的是主机IP地址10.1.1.1；

　　•例子：如果要精确匹配192.168.1.1/24这个IP地址对应的网段地址，通配符是多少？

　　▫可以得出：网络位需要严格匹配，主机位无所谓，因此通配符为“0.0.0.255”。

　　•通配符是一个32比特长度的数值，用于指示IP地址中，哪些比特位需要严格匹配，哪些比特位无需匹配。

　　•通配符通常采用类似网络掩码的点分十进制形式表示，但是含义却与网络掩码完全不同。

　　•如果想匹配192.168.1.0/24网段中的奇数IP地址，通配符该怎么写呢？

　　•注意：用户在创建ACL时可以为其指定编号，不同的编号对应不同类型的ACL。同时，为了便于记忆和识别，用户还可以创建命名型ACL，即在创建ACL时为其设置名称。命名型ACL，也可以是“名称 数字”的形式，即在定义命名型ACL时，同时指定ACL编号。如果不指定编号，系统则会自动为其分配一个数字型ACL的编号。

　　可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。

　　使用报文的以太网帧头信息来定义规则，如根据源MAC地址、目的MAC地址、二层协议类型等。

　　既可使用IPv4报文的源IP地址或源UCL（User Control List）组，也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。

　　▫主要针对IP报文的源IP地址进行匹配，基本ACL的编号范围是2000-2999。

　　▫可以根据IP报文中的源IP地址、目的IP地址、协议类型，TCP或UDP的源目端口号等元素进行匹配，可以理解为：基本ACL是高级ACL的一个子集，高级ACL可以比基本ACL定义出更精确、更复杂、更灵活的规则。

　　▫配置ACL的设备接收报文后，会将该报文与ACL中的规则逐条进行匹配，如果不能匹配上，就会继续尝试去匹配下一条规则。

　　▫一旦匹配上，则设备会对该报文执行这条规则中定义的处理动作，并且不再继续尝试与后续规则匹配。

　　−如果匹配上了permit规则，则停止查找规则，并返回ACL匹配结果为：匹配（允许）。

　　−如果匹配上了deny规则，则停止查找规则，并返回ACL匹配结果为：匹配（拒绝）。

　　−如果未匹配上规则，则继续查找下一条规则，以此循环。如果一直查到最后一条规则，报文仍未匹配上，则返回ACL匹配结果为：不匹配。

　　•从整个ACL匹配流程可以看出，报文与ACL规则匹配后，会产生两种匹配结果：“匹配”和“不匹配”。

　　▫匹配（命中规则）：指存在ACL，且在ACL中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”，都称为“匹配”，而不是只是匹配上permit规则才算“匹配”。

　　▫不匹配（未命中规则）：指不存在ACL，或ACL中无规则，再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。以上三种情况，都叫做“不匹配”。

　　▫系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。

　　•一条ACL可以由多条“deny或permit”语句组成，每一条语句描述一条规则，这些规则可能存在包含关系，也可能有重复或矛盾的地方，因此ACL的匹配顺序是十分重要的。

　　•华为设备支持两种匹配顺序：自动排序（auto模式）和配置顺序（config模式）。缺省的ACL匹配顺序是config模式。

　　▫自动排序，是指系统使用“深度优先”的原则，将规则按照精确度从高到低进行排序，并按照精确度从高到低的顺序进行报文匹配。——这个比较复杂，这里就不具体展开了，感兴趣的同学可以课后查看资料。

　　▫配置顺序，系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。——这个就是我们前面提到的匹配顺序。

　　▪如果后面又添加了一条规则，则这条规则会被加入到相应的位置，报文仍然会按照从小到大的顺序进行匹配。

　　▫time-rangetime-name：指定ACL规则生效的时间段。其中，time-name表示ACL规则生效时间段名称。如果不指定时间段，表示任何时间都生效。

　　ACL原理和作用ACL类型和特点：需要一个工具，实现流量过滤_世界速看

　　现在比较火的潮牌有哪些 OFF WHITE行走于街头文化与高端时尚之间

　　环球微资讯！云南省首本住宅小区配建养老服务设施不动产权证在昆明市官渡区成功办理

　　2023中国消费金融公司发展报告出炉：服务客户突破3亿人次 全球热消息

　　狂轰54+19+5+4！马刺双子星打疯了，波波维奇1200万签约捡到宝了_焦点速看

　　《最终幻想16》《鬼泣5》技能招式对比：战斗系统出自同一人之手_天天热推荐

　　世界报道:到店体验雷克萨斯RZ，品牌首款纯电SUV，36.99万起售，表现如何？

　　5800mAh长续航怪兽！荣耀X50新机发布：官方首次承诺两年免费换电池

　　奥特维: 无锡奥特维科技股份有限公司关于公司实际控制人及部分董事增持公司股份进展的公告

　　华为nova Y71面向全球推出：搭载6000mAh大电池、可使用3天半-世界微资讯

　　唐山高新区加快打造具有全国影响力的特种机器人研发总部基地和机器人应用创新高地

　　万孚生物：拟3000万元至5000万元回购公司股份，回购价不超43.06元/股

　　海外直播带货正当潮！维卓旗下润杨力量获TikTok TSP官方认证资质

　　爆款预定！瑞虎7 PLUS新能源渲染图曝光，双拼内饰，还有超大尺寸双联屏

　　预定爆款！智慧先锋科技+领潮先锋造型，打造瑞虎7 PLUS新能源超强竞争力！

　　预定爆款！搭载骁龙8155芯片/L2+级智能驾驶辅助系统，瑞虎7 PLUS新能源耀目成都车展

　　限时盲订开启！全新欧蓝德成都车展公布配置，携手阿根廷国家足球队威风启程

　　享10000份盲盒赢8888元整家免单！ 掌上明珠国货焕新家盛惠来袭！

　　三星Galaxy S21 FE外观曝光：印度首发骁龙888-环球即时看

　　天天快资讯：星曜光学发布28mm F/2.8镜头，小巧便携，仅1cm厚

　　联系邮箱：291 32 Copyright©1997-2020版权所有

　　北京市海淀区上地南路中博大厦8、9层 业务合作QQ：905 144 107