欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

ACL简介

程序员文章站 2024-02-28 17:32:10
...

ACL简介

定义

访问控制列表ACL(Access Control List)是由一系列规则组成的集合,ACL通过这些规则对报文进行分类,从而使设备可以对不同类报文进行不同的处理。

ACL的基本原理

ACL负责管理用户配置的所有规则,并提供报文匹配规则的算法。

ACL的规则管理

每个ACL作为一个规则组,可以包含多个规则。规则通过规则ID(rule-id)来标识,规则ID可以由用户进行配置,也可以由系统自动根据步长生成。一个ACL中所有规则均按照规则ID从小到大排序。
规则ID之间会留下一定的间隔。如果不指定规则ID时,具体间隔大小由“ACL的步长”来设定。例如步长设定为5,ACL规则ID分配是按照5、10、15……来分配的。如果步长值是2,自动生成的规则ID从2开始。用户可以根据规则ID方便地把新规则插入到规则组的某一位置。

ACL的规则匹配

报文到达设备时,设备从报文中提取信息,并将该信息与ACL中的规则进行匹配,只要有一条规则和报文匹配,就停止查找,称为命中规则。查找完所有规则,如果没有符合条件的规则,称为未命中规则。

ACL的规则分为“permit”(允许)规则和“deny”(拒绝)规则。

综上所述,ACL可以将报文分成三类:

  • 命中“permit”规则的报文
  • 命中“deny”规则的报文
  • 未命中规则的报文

配置举例

  1. 创建acl
    system-view
    acl name jzh

    创建了一个名称为jzh的acl

  2. 查看配置的acl
    display acl name jzh

  3. 删除acl
    quit
    undo acl name jzh

  4. 给acl配置rule
    创建一条基本ACL规则

    acl jzh
    rule [ rule-id ] { deny | permit } [ fragment-type fragment | source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | time-range time-name | vpn-instance vpn-instance-name | logging ] *

    删除一条基本ACL规则

    undo rule rule-id
相关标签: acl