ACL 和 ACL6 总结

发布时间:  2012-07-18 浏览次数:  296 下载次数:  15
问题描述
告警信息
处理过程
根因
建议与总结

一、相关概念


1、访问控制列表 ACL(Access Control List)是一系列有顺序的规则组的集合,这些规则根据数据包的源地址、目的地址、端口号等来描述。通常我们说的 ACL 用于 IPv4 网络环境下。
2、ACL6 即 IPv6 ACL指用于过滤IPv6报文的访问控制列表。
3、步长是指自动为ACL规则分配编号时,规则编号之间的差值。使用步长设定可以方便在规则之间插入新的规则。缺省情况下,ACL规则的步长为5。当步长改变的时候,ACL规则组下的规则编号会自动重新排列。


二、功能


ACL 和 ACL6 的功能都一样,它们通过规则对数据包进行分类,这些规则应用到防火墙、路由器等网络设备上,网络设备根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。访问控制列表最普遍的应用还是被调用,再将访问控制列表分类的数据做进一步处理,比如修改优先级,指定下一跳等等。


三、分类


ACL 的分类:
1、基本 ACL:编号范围2000~2999,只能通过源IP地址和时间段来进行流量匹配。
2、高级 ACL:编号范围3000~3999,可通过源目的IP地址、源目的端口、ToS、时间段、协议类型、优先级、等多个维度来对进行流量匹配。
3、基于 MAC 地址的 ACL:可以通过源MAC地址、目的MAC地址、CoS、协议码等维度来进行流量匹配。


ACL6 的分类
1、基本IPv6 ACL:编号范围是2000~2999,使用源地址信息做为定义IPv6 ACL规则的元素。
2、高级IPv6 ACL:编号范围是3000~3999,使用数据包的源目的地址信息、源目的端口、IPv6承载的协议类型等内容定义规则。


四、规则匹配顺序


规则匹配顺序上 ACL 和 ACL6 相同,都有两种:配置顺序和自动顺序。
1、配置顺序:按照用户配置规则的先后顺序进行匹配。
配置顺序根据ACL规则的ID进行排序,ID小的规则排在前面,优先进行匹配。
2、自动排序:按照“深度优先”的顺序进行规则匹配。
自动顺序也叫深度优先匹配。此时ACL规则的ID由系统自动分配,规则中指定数据包范围小的排在前面,优先进行匹配,即最精确的优先,类似路由查找时候的最长匹配原则。


注意:
当找到第一条匹配条件的规则时,查找结束。系统按照该规则对应的动作处理,而不会继续往下查找其它规则;
如果所有规则都没有匹配,系统不进行任何处理(等同于没有配置ACL)。


五、建议


为降低设备处理负担,节省带宽资源,应用访问列表时候,对于基本的ACL(编号范围是2000~2999),建议靠近源应用;对于高级ACL(编号范围是3000~3999),通常建议靠近目的应用。

END