97国际

97国际·(中国区)集团官方网站

中文

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

登录

97国际·(中国区)集团官方网站

产品

< 返回主菜单

产品

解决计划

< 返回主菜单

解决计划中心

行业

服务支持

合作伙伴

关于97国际

投资者关系

返回主菜单

选择区域/语言

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

ACL基本看法及原理先容

ACL通过界说一系列的ACL规则，并应用在装备中，以实现网络传输中的装备的数据报文过滤和数据报文分类的功效，能够避免网络中的报文攻击和控制网络会见，实现了网络对清静、可靠和稳固的包管要求。

宣布时间：2022-11-24
点击量：
点赞：

分享至

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

我想谈论

1 ACL概述

1.1 ACL是什么

在先容ACL作用之前，先来看看什么是ACL。ACL（Access Control List，会见控制列表）也称为会见列表，或者包过滤。ACL包括了一系列条件语句，现实上是一系列包括“允许”或者“拒绝”的规则�；痪浠八�，ACL是人为界说的一系列规则，以便装备判断是否执行用户划定行动。

1.2 ACL作用

ACL泛起的初始目的是用于数据报文过滤和数据报文分类。下面临ACL作用做简要先容。

●数据报文过滤

由于ACL包括了“允许”或“拒绝”的ACL规则，通过ACL规则，能够控制装备是否转发数据报文，或者限制用户会见服务。

●数据报文分类

通过ACL规则对数据报文举行分类，其他应用（好比QoS、战略路由等）通过挪用ACL，能够对差别类别的数据报文举行区别处置惩罚。

2 ACL事情原理

2.1 ACL的基本看法先容

●ACE

ACE（Access Control Entry，会见控制条目）是包括“允许（Permit）”或“拒绝（Deny）”两种行动，以及过滤规则的一条语句。每个ACE都有一个序号，该序号可由装备自动分派或者手动设置。一条ACL中包括一个或者多个ACE。ACL通过ACE对数据报文举行过滤和分类。

●步长

当装备为ACE自动分派序号时，两个相邻ACE序号之间的差值，称为步长。例如，若是将ACE的步长设定为20，则装备凭证0、20、40、60…这样的递增顺序自动为ACE分派序号。如下所示。

0 deny ip any any

20 permit tcp 192.168.12.0 0.0.0.255 eq telnet any

当步长改变后，ACE序号会自动按新步长值重新分派。例如，当把步长改为10后，原来ACE序号从0、20、40酿成0、20、30。

通过改变步长可以在两个ACE之间插入新的ACE。例如建设了4个ACE，并通过手动设置ACE序号划分为1、2、3和4。若是希望能在序号1后面插入一条新的ACE，则可以先将步长修改为2，此时原先4个ACE的序号自动变为1、3、5和7，再插入一条手动设置的序号为2的ACE。

●过滤域和过滤域模板

过滤域指的是天生一条ACE时，凭证报文中的哪些字段对报文举行识别、分类。过滤域模板就是这些字段的组合。

●ACL规则

ACL规则（Rules）指的是ACE过滤域模板对应的值。例如，一条ACE的内容如下：

10 permit tcp host 192.168.12.2 any eq telnet

在这条ACE中，过滤域模板为以下字段的荟萃：源IP地址字段、目的IP地址字段、IP协议字段、TCP目的端口字段。对应的值（即规则）划分为：源IP地址为Host 192.168.12.2、目的IP地址为Any（即所有主机）、IP协议为TCP、TCP目的端口为Telnet。如图2-1所示。

●行为

行为（Action）指的是ACE中指定的行动，包括“允许（Permit）”或“拒绝（Deny）”两种。Permit为允许规则中指定的流量，Deny为拒绝规则中指定的流量。

图2-1 对ACE：permit tcp host 192.168.12.2 any eq telnet的剖析

97国际·(中国区)集团官方网站

2.2 ACL事情原理先容

ACL由一系列的ACE组成。每个ACE都界说了ACL规则及行为。在所有的ACE之后，保存一条默认拒绝所有报文的ACE：deny any any（不显示）。

ACE可以针对数据报文的源地址、目的地址、上层协议，时间区域等信息举行过滤。

ACE在ACL中的顺序决议了该ACE在ACL中的报文匹配优先级。当数据报文进入装备或者要从装备中转发时，按ACE的序号从小到大举行规则匹配，当找到匹配的ACE后阻止检查后续的ACE。若是设置的ACE都未匹配到，则匹配最后一条默认拒绝所有报文的ACE。如图2-2所示。

建设ACL并将ACL应用在接口的入偏向或者出偏向后，ACL功效才生效。当报文收支装备时，装备通过判断报文是否匹配ACL规则，决议是否转发或阻断报文。ACL才华够施展控制会见的作用。

图2-2 ACL事情原理图

97国际·(中国区)集团官方网站

3 竣事语

随着网络应用的推广和网络手艺的生长，网络的包管要越来越高。ACL的数据报文过滤和数据报文分类的功效，能够避免网络中的报文攻击和控制网络会见，实现了网络对清静、可靠和稳固的包管要求。那么，ACL分类有哪些？高级ACL和基本ACL的区别、标准ACL和扩展ACL的区别划分是什么？ACL设置怎样实现呢？敬请期待后续先容。

相关标签：

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

点赞

<< 为什么SFTP比FTP更清静

SSH是什么 >>

相关产品

客户谈论

暂无谈论

我要谈论

您的姓名

您的手机号*

您的邮箱

公司名称

您的谈论*

我已仔细阅读并赞成隐私声明

验证码*

提交谈论

更多手艺博文

任何需要，请联系97国际

与售前照料攀谈

填写项目需求表单

售前咨询
售后服务
意见反响

97国际·(中国区)集团官方网站

返回顶部

收起

文档AI助手

文档评价

该资料是否解决了您的问题？

您对目今页面的知足度怎样？

不咋滴

很是好

您知足的缘故原由是（多�。�？

您不知足的缘故原由是（多�。�？

您是否尚有其他问题或建议？

为了快速解决并回复您的问题，您可以留下联系方法

邮箱

手机号

我已赞成并阅读隐私政策

谢谢您的反�。�

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

请选择服务项目

售前咨询

售后服务

意见反响

更多联系方法