ACL6概述
ACL(Access Control List,访问控制列表)是由一系列规则组成的集合,ACL通过这些规则对数据包进行分类,进而路由设备根据这些规则判断数据包被拒绝或者被接受。支持IPv6协议的ACL称为ACL6。ACL6可以用于很多的业务中,比如路由策略、流量策略、QoS等。
ACL6的定义
ACL是Access Control List的简称,中文是访问控制列表。ACL包含了一系列条件语句,实际上是一系列包含“允许”或者“拒绝”的规则。换句话说,ACL是人为定义的一组或者几组规则,以便设备判断是否执行用户规定的动作。支持IPv6协议的ACL称为ACL6。ACL6可以用于很多的业务中,比如路由策略、流量策略、QoS等。
网络中的设备相互通信时,需要保障网络传输安全可靠、性能稳定。当需要满足如下要求时,可以在网络设备中(可以是接入设备、核心设备等),部署ACL6特性,实现网络的安全性与稳定性。
- 防止对网络的攻击,例如防止针对IPv6报文、TCP报文、ICMPv6报文的攻击。
- 对网络访问行为进行控制,例如企业网中内、外网的通信,用户访问特定网络资源的控制,特定时间段内允许对网络的访问。
- 限制网络流量和提高网络性能,例如限定网络上行、下行流量的带宽,对用户申请的带宽进行收费,保证高带宽网络资源的充分利用。
说明: ACL6本身只是一组规则的集合,它只是通过过滤规则对报文进行了分类。因此ACL6需要与某些具体的功能(如设备管理、路由策略、流量管理、组播过滤)配合使用,才能实现过滤报文的功能。
ACL6的分类
分类 |
功能概述 |
ACL6编号 |
|---|---|---|
基于接口的ACL6 |
根据报文的入接口对报文进行过滤。 |
编号范围是1000~1999。 |
基本ACL6 |
根据源地址对报文进行过滤。 |
编号范围是2000~2999。 |
高级ACL6 |
根据源/目的地址、源/目的端口号、协议类型等对报文进行过滤。 |
编号范围是3000~3999。 |
用户ACL6 UCL6(User ACL6) |
根据报文的源IPv6地址、源业务组、源用户组、源端口号、目的IPv6地址、目的业务组、目的用户组、目的端口号、协议类型等内容定义规则,实现对报文的匹配过滤。 |
编号范围是6000~9999。 |
ACL6规则生效时间段
- 绝对时间段是指从设定的起始年月日到终止年月日之间的时间段,该时间段不会循环出现,也没有周期。
- 相对时间段(周期时间段),是指循环周期为一周,循环出现的时间段。例如每周日8点到12点生效。
ACL6的描述信息
创建ACL6之后,可以为该ACL6设置描述信息,此后可以快速地了解该ACL6的用途等信息,增加配置信息的可读性。
ACL6的过滤规则
ACL6的过滤规则是配置ACL6的核心,在不同的场景下,通过不同的过滤规则对报文进行分类,具体如表11-2所示。
过滤规则 |
支持的ACL类型 |
作用 |
|---|---|---|
生效时间段 |
基于接口的ACL6、基本ACL6、用户ACL6、高级ACL6 |
通过设置规则的生效时间,用于:
|
报文的入接口 |
基于接口的ACL6 |
根据报文的入接口对报文进行分类,用于:
|
非首片分片报文 |
基本ACL6、用户ACL6、高级ACL6 |
根据是否是首片分片报文对报文进行分类,用于:
|
源IPv6地址 |
基本ACL6、用户ACL6、高级ACL6 |
根据报文的源IPv6地址对报文进行分类,用于:
|
VPN实例 |
基本ACL6、高级ACL6 |
根据报文所属的VPN对报文进行分类,用于:
|
目的IPv6地址 |
高级ACL6、用户ACL6 |
根据报文的目的IPv6地址对报文进行分类,用于:
|
协议类型 |
高级ACL6、用户ACL6 |
对于不同的协议类型,有不同的过滤规则。 |
源端口号 |
高级ACL6、用户ACL6 |
根据UDP或TCP报文的源端口号对报文进行分类,用于:
|
目的端口号 |
高级ACL6、用户ACL6 |
根据UDP或TCP报文的源端口号对报文进行分类,用于:
|
IPv6报文DSCP值 |
高级ACL6、用户ACL6 |
根据IPv6报文的差分服务码点对报文进行分类,用于根据不同业务流进行路由过滤。 |
IPv6报文Precedence值 |
高级ACL6、用户ACL6 |
根据IPv6报文的优先级对报文进行分类,用于流量控制。 |
IPv6报文ToS值 |
高级ACL6、用户ACL6 |
根据IPv6报文的服务类型对报文进行分类,用于流量控制。 |
源业务组、源用户组、目的业务组、目的用户组 |
用户ACL6 |
根据报文的所属的源业务组、源用户组、目的业务组、目的用户组对报文进行分类,用于流量控制。 |
ACL6规则的匹配顺序
在设备上配置ACL6特性后,系统会对收到的报文与规则组中的过滤规则逐条进行匹配,直到与某条规则匹配。
规则匹配方式和规则编号这两个因素决定了各过滤规则在规则组中被匹配的先后顺序。
规则匹配方式分为配置顺序和自动顺序:
自动顺序:匹配ACL6内的规则时系统按“深度优先”的顺序自动排序。
![]()
说明: - “深度优先”即根据规则的精确度排序,匹配条件(如协议类型、源和目的IP地址范围等)限制越严格越精确。例如可以比较地址的通配符,通配符越小,则指定的主机的范围就越小,限制就越严格。
- 若“深度优先”的顺序相同,则匹配该规则时按用户的配置顺序。
配置顺序:匹配ACL6内的规则时系统按用户的配置顺序进行排序。
![]()
说明: 指定匹配该规则时按用户的配置顺序,是指在用户没有指定规则编号的前提下。若用户指定了规则编号,则匹配规则时,按编号由小到大的顺序。
上一页
