ACL(访问控制列表)是一种常用的流量过滤技术。它通过在网络设备(如路由器、交换机、防火墙等)上配置规则,来决定哪些数据包可以通过,哪些应该被丢弃。ACL 规则通常基于源地址、目标地址、协议类型、端口号等字段进行匹配,从而实现对网络流量的细粒度控制。
ACL(访问控制列表)由一系列按顺序排列的规则组成,每条规则包含匹配条件(如源IP、目的IP、协议、端口等)和动作(Permit 允许或 Deny 拒绝)。ACL 的默认行为是隐式拒绝:如果流量不匹配任何规则,则被拒绝;在华为设备中,默认是 Permit 或 Deny 取决于上下文(流量过滤 vs 路由)。
ACL 分为两大类:
• 基本 ACL(2000-2999):只能匹配源 IP、目的 IP、协议、端口等基本字段。
• 高级 ACL(3000-3999):支持更多字段,如源端口、目的端口、ICMP 类型、TCP/UDP 标志等,适用于更细粒度的控制。
ACL 的配置步骤通常是:
• 创建 ACL(可写编号或名称)。
• 添加规则,指定匹配字段和动作。
• 在接口或路由器上引用 ACL,决定流量的入口或出口方向。
• 可使用时间条件(VCL)限制规则生效时间。
ACL 的应用场景包括:
• 访问控制:限制部门间或外部访问内部服务器。
• 流量过滤:阻止不需要的协议或 IP 段。
• 结合策略路由:根据 ACL 匹配结果决定下一跳。
• 与 NAT、QoS、ACL 结合使用,实现地址转换、带宽管理和安全控制。
示例:
• ACL 2000:deny 192.168.1.0 0.0.0.255;permit any。
• ACL 3000:permit tcp 10.0.0.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80。
ACL 的优点是灵活、可扩展,缺点是管理复杂,错误配置可能导致网络中断。通过实验配置和案例演练,可以加深对 ACL 语法、匹配顺序、默认行为以及与其他网络功能的协同使用的理解。