ACL原理及配置

文章目录

ACL原理及配置

技术背景：需要一个工具，实现流量过滤

某公司为保证财务数据安全，进制研发部门访问财务服务器，但总裁办公室不受限制

ACL概述

访问控制值列表（ACL）

通过ACL可以实现对网络中报文流的精确识别和控制，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

应用于路由器接口的指令列表，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝。

• ACL是一系列permit或deny语句组成的、有序规则的列表。
• ACL是一个匹配工具，能够对报文进行匹配和区分。

permit（允许）：数据包过滤，允许那些流量通过
deny （拒绝）：数据包过滤，拒绝那些流量通过

ACL应用

• 匹配IP流量
• 在Traffic-filter中被调用
• 在NAT（Network Address Translation）中被调用
• 在路由策略中被调用
• 在防火墙的策略部署中被调用
• 在QoS中被调用
• 其他……

ACL本身作为一个流量过滤工具现在已经使用得很少了，更多地还是被用来匹配、分类

ACL组成

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。原本华为和思科的ACL都是默认拒绝一切，但是，华为模拟器默认是允许一切。

ACL的组成：

• ACL编号：在网络设备上配置ACL时，每个ACL都需要分配一个编号，称为ACL编号，用来标识ACL。
• 规则：一个ACL通常由若干条“permit/deny”语句组成，每条语句就是该ACL的一条规则。
• 规则编号：每条规则都有一个相应的编号，称为规则编号，用来标识ACL规则。可以自定义，也可以系统自动分配。ACL规则的编号范围是0～4294967294，所有规则均按照规则编号从小到大进行排序。
• 动作：每条规则中的permit或deny，就是与这条规则相对应的处理动作。permit指“允许”，deny指“拒绝”，但是ACL一般是结合其他技术使用，不同的场景，处理动作的含义也有所不同。 - 比如：ACL如果与流量过滤技术结合使用（即流量过滤中调用ACL），permit就是“允许通行”的意思，deny就是“拒绝通行”的意思。
• 匹配项：ACL定义了极其丰富的匹配项。例子中体现的源地址，ACL还支持很多其他规则匹配项。

规则编号（Rule ID）

规则编号（Rule ID）：

一个ACL中的每一条规则都有一个相应的编号，称为规则编号，用来标识ACL规则。可以自定义，也可以系统自动分配。

步长（Step）:

步长是系统自动为ACL规则分配编号时，每个相邻规则编号之间的差值，这个差值称为“步长”。缺省值/缺省步长为5。所以规则编号就是5/10/15…以此类推。

步长的作用是为了方便后续在旧规则之间，插入新的规则。

如果手工指定了一条规则，但未指定规则编号，系统就会使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。

步长可以调整，如果将步长改为2，系统则会自动从当前步长值开始重新排列规则编号，规则编号就变成2、4、6…。

Rule ID分配规则：

系统为ACL中首条未手工指定编号的规则分配编号时，使用步长值（例如步长=5，首条规则编号为5）作为该规则的起始编号；为后续规则分配编号时，则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。

那步长的作用是什么？直接rule 1/2/3/4…为什么不可以？

问：如果希望增加一条规则，该如何处理？

答：可以在rule 10和rule 15之间，手工加入一条rule 11。

因此，设置一定长度的步长的作用，是方便后续在旧规则之间插入新的规则。

通配符（Wildcard）

通配符是一个32比特长度的数值，用于指示IP地址中，哪些比特位需要严格匹配，哪些比特位无需匹配。

通配符通常采用类似网络掩码的点分十进制形式表示，但是含义却与网络掩码完全不同。

• 当进行IP地址匹配的时候，后面会跟着32位掩码位，这32位称为通配符。
• 通配符，也是点分十进制格式，换算成二进制后，0表示“匹配”，1表示“不关心”。
• 具体看下这2条规则：- rule 5: 拒绝源IP地址为10.1.1.1报文通过——因为通配符为全0，所以每一位都要严格匹配，因此匹配的是主机IP地址10.1.1.1；- rule 15:允许源IP地址为10.1.1.0/24网段地址的报文通过——因为通配符：0.0.0.11111111，后8位为1，表示不关心，因此10.1.1.xxxxxxxx 的后8位可以为任意值，所以匹配的是10.1.1.0/24网段。
• 例子：如果要精确匹配192.168.1.1/24这个IP地址对应的网段地址，通配符是多少？- 可以得出：网络位需要严格匹配，主机位无所谓，因此通配符为0.0.0.255。

• 如果想匹配192.168.1.0/24网段中的奇数IP地址，通配符该怎么写呢？- 我们先来看一看，奇数IP地址都有哪些：192.168.1.1、192.168.1.5、192.168.1.11……- 后八位写成二进制：192.168.1.00000001、192.168.1.00000101、192.168.1.00001011……- 可以看出共同点：最后8位的高7位是任意值，最低位固定为1，因此答案是：192.168.1.1 0.0.0.254（0.0.0.11111110）
• 这就得出了通配符的一个特点：通配符中的1或者0是可以不连续的。
• 还有两个特殊的通配符：- 当通配符全为0来匹配IP地址时，表示精确匹配某个IP地址；- 当通配符全为1来匹配0.0.0.0地址时，表示匹配了所有IP地址。

ACL的分类与标识

不同厂商编号不同

• 基于ACL规则定义方式的分类

• 基于ACL标识方法的分类

基本ACL&高级ACL

ACL的匹配机制

不同厂商机制不同

ACL的匹配机制概括来说就是：

配置ACL的设备接收报文后，会将该报文与ACL中的规则逐条进行匹配，如果不能匹配上，就会继续尝试去匹配下一条规则。

一旦匹配上，则设备会对该报文执行这条规则中定义的处理动作，并且不再继续尝试与后续规则匹配。

匹配流程

如果ACL不存在，则返回ACL匹配结果为：不匹配。
如果ACL存在，则查找设备是否配置了ACL规则。

如果规则不存在，则返回ACL匹配结果为：不匹配。
如果规则存在，则系统会从ACL中编号最小的规则开始查找。

如果匹配上了permit规则，则停止查找规则，并返回ACL匹配结果为：匹配（允许）。
如果匹配上了deny规则，则停止查找规则，并返回ACL匹配结果为：匹配（拒绝）。

如果未匹配上规则，则继续查找下一条规则，以此循环。如果一直查到最后一条规则，报文仍未匹配上，则返回ACL匹配结果为：不匹配。

从整个ACL匹配流程可以看出，报文与ACL规则匹配后，会产生两种匹配结果：“匹配”和“不匹配”。

匹配（命中规则）：指存在ACL，且在ACL中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”，都称为“匹配”，而不是只是匹配上permit规则才算“匹配”。

不匹配（未命中规则）：指不存在ACL，或ACL中无规则，再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。以上三种情况，都叫做“不匹配”。

匹配原则：一旦命中即停止匹配。

ACL的匹配顺序及匹配结果

系统按照ACL规则编号从小到大的顺序进行报文匹配。规则编号越小越容易被匹配。

“允许”是指允许流量通过吗？

如果是被其他功能调用，那么不叫“通过”，是匹配成功
放在接口上的话，代表过滤

• 一条ACL可以由多条deny或permit语句组成，每一条语句描述一条规则，这些规则可能存在包含关系，也可能有重复或矛盾的地方，因此ACL的匹配顺序是十分重要的。
• 华为设备支持两种匹配顺序：自动排序（auto模式）和配置顺序（config模式）。缺省的ACL匹配顺序是config模式。- 自动排序，是指系统使用“深度优先”的原则，将规则按照精确度从高到低进行排序，并按照精确度从高到低的顺序进行报文匹配。- 配置顺序，系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。——这个就是我们前面提到的匹配顺序。
• 如果后面又添加了一条规则，则这条规则会被加入到相应的位置，报文仍然会按照从小到大的顺序进行匹配。

ACL的匹配位置

ACL的基础配置

基本ACL的基础配置命令

创建基本ACL

[Huawei] acl [ number ] acl-number [ match-order config ]

acl-number：指定访问控制列表的编号。

match-order config：指定ACL规则的匹配顺序，config表示配置顺序。

使用编号（2000～2999）创建一个数字型的基本ACL，并进入基本ACL视图。

[Huawei] acl name acl-name { basic | acl-number } [ match-order config ]

使用名称创建一个命名型的基本ACL，并进入基本ACL视图。

acl-name：指定创建的ACL的名称。

basic：指定ACL的类型为基本ACL。

配置基本ACL的规则

[Huawei-acl-basic-2000] rule [ rule-id ] { deny | permit } [ source {source-address source-wildcard | any } | time-range time-name ]

在基本ACL视图下，通过此命令来配置基本ACL的规则。

rule-id：指定ACL的规则ID。

deny：指定拒绝符合条件的报文。

permit：指定允许符合条件的报文。

source { *source-address source-wildcard* | any }：指定ACL规则匹配报文的源地址信息。如果不配置，表示报文的任何源地址都匹配。

其中：

source-address：指定报文的源地址。
source-wildcard：指定源地址通配符。
any：表示报文的任意源地址。相当于source-address为0.0.0.0或者source-wildcard为255.255.255.255。
time-range time-name：指定ACL规则生效的时间段。其中，time-name表示ACL规则生效时间段名称。如果不指定时间段，表示任何时间都生效。

高级ACL的基础配置命令

创建高级ACL

[Huawei] acl [ number ] acl-number [ match-order config ]

使用编号（3000～3999）创建一个数字型的高级ACL，并进入高级ACL视图。

[Huawei] acl name acl-name { advance | acl-number } [ match-orderconfig ]

使用名称创建一个命名型的高级ACL，进入高级ACL视图。

配置基本ACL的规则

根据IP承载的协议类型不同，在设备上配置不同的高级ACL规则。对于不同的协议类型，有不同的参数组合。

当参数protocol为IP时，高级ACL的命令格式为

rule [ rule-id ] { deny | permit } ip [ destination {destination-address destination-wildcard | any } | source { source-address
source-wildcard | any } | time-range time-name | [ dscp dscp | [ tos tos |precedence precedence ] ] ]

在高级ACL视图下，通过此命令来配置高级ACL的规则。

当参数protocol为TCP时，高级ACL的命令格式为

rule [ rule-id ] { deny | permit } { protocol-number | tcp } [destination { destination-address destination-wildcard | any } |
destination-port { eq port | gt port | lt port | range port-start port-end } |source { source-address source-wildcard | any } |
source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | fin | syn } * |time-range time-name ] *

在高级ACL视图下，通过此命令来配置高级ACL的规则。