ACL简介

定义

访问控制列表ACL（Access Control List）是由一系列规则组成的集合，ACL通过这些规则对报文进行分类，从而使设备可以对不同类报文进行不同的处理。

ACL的基本原理

ACL负责管理用户配置的所有规则，并提供报文匹配规则的算法。

ACL的规则管理

每个ACL作为一个规则组，可以包含多个规则。规则通过规则ID（rule-id）来标识，规则ID可以由用户进行配置，也可以由系统自动根据步长生成。一个ACL中所有规则均按照规则ID从小到大排序。
规则ID之间会留下一定的间隔。如果不指定规则ID时，具体间隔大小由“ACL的步长”来设定。例如步长设定为5，ACL规则ID分配是按照5、10、15……来分配的。如果步长值是2，自动生成的规则ID从2开始。用户可以根据规则ID方便地把新规则插入到规则组的某一位置。

ACL的规则匹配

报文到达设备时，设备从报文中提取信息，并将该信息与ACL中的规则进行匹配，只要有一条规则和报文匹配，就停止查找，称为命中规则。查找完所有规则，如果没有符合条件的规则，称为未命中规则。

ACL的规则分为“permit”（允许）规则和“deny”（拒绝）规则。

综上所述，ACL可以将报文分成三类：

• 命中“permit”规则的报文
• 命中“deny”规则的报文
• 未命中规则的报文

配置举例

1. 创建acl
   system-view
acl name jzh
   创建了一个名称为jzh的acl

2. 查看配置的acl
   display acl name jzh

3. 删除acl
   quit
undo acl name jzh

4. 给acl配置rule
   创建一条基本ACL规则

   acl jzh
   rule [ rule-id ] { deny | permit } [ fragment-type fragment | source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | time-range time-name | vpn-instance vpn-instance-name | logging ] *

   删除一条基本ACL规则

   undo rule rule-id