【原】网络之路专题一: ACL技术简介

ACL是Access Control List（访问控制列表）的缩写。在Linux系统中，ACL用于设定用户针对文件的权限，而不是在交换路由器中用来控制数据访问的功能（类似于防火墙）。

在交换机中，ACL（Access Control List）是由一条或多条规则组成的集合。所谓的规则是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。其本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

关于作者：

小编：通信行业搬砖工，13年数通行业从业人员

前huawei3com员工从事核心交换机开发

更多互联网技术与咨询分享，欢迎关注公众号：通信行业搬砖工

支付宝搜索：842549480 领取福利

01、为什么需要ACL技术

在交换机中，访问控制列表扮演着至关重要的角色，主要出于以下几个原因：

首先，ACL提供了强大的流量过滤功能（包过滤功能）。通过定义一系列规则，ACL能够允许或拒绝特定的数据包通过交换机，从而实现对网络流量的精确控制。这有助于满足网络的安全性和流量过滤需求，确保只有符合特定条件的数据包能够通过网络。

其次，ACL有助于提高网络性能和安全性。通过限制不必要的网络流量，ACL可以减少交换机的处理负担，提高网络传输的效率和可靠性。同时，ACL还能够防止非法设备接入网络，防止非法获取系统数据，从而保护网络系统的安全性。

再次，ACL还可以为不同类报文流提供差分服务。基于过滤出的报文，ACL能够实现阻塞攻击报文、为特定类型的数据包提供优先处理等功能，从而优化网络资源的分配和使用。

此外，ACL技术还可以提高网络带宽的利用率。网络带宽被各类业务随意挤占，服务质量要求最高的语音、视频业务的带宽得不到保障，造成用户体验差。使用ACL实现对网络流量的精确识别和控制，限制部分网络流量从而保障主要业务的质量。

最后，ACL在复杂组网场景中，可以提供流量重定向、实现策略路由等功能。通过对设备间通信进行访问控制，使用可编程方法指定访问规则，ACL能够防止非法设备破坏系统安全，确保网络系统的稳定运行。

综上所述，交换机中需要ACL来实现对网络流量的精确控制、提高网络性能和安全性、为不同类报文流提供差分服务以及保障物联网等复杂网络环境的安全性。

常用组网场景举例：

为保证财务数据安全，企业在路由设备上应用ACL可以阻止内网内部研发部门主机对财务服务器的访问，同时允许总裁办公室访问财务服务器。为了保护企业内网的安全，在路由设备上应用ACL可以封堵网络病毒常用的端口，防止Internet上的恶意流量入侵。

02、交换机ACL的组成

交换机中的访问控制列表（ACL）主要由一系列规则组成，这些规则用于定义数据包在网络中的流通权限。每条ACL规则都包含一个或多个条件和一个相应的动作，当数据包满足这些条件时，交换机将执行相应的动作（允许或拒绝数据包通过）。

具体来说，ACL规则的条件部分通常包括数据包的源地址、目的地址、端口号、协议类型等参数。这些条件用于精确匹配特定的数据包流。动作部分则定义了当数据包满足条件时应该执行的操作，例如允许数据包通过、拒绝数据包、重定向数据包等。

ACL的每一条规则都会允许或者阻止特定的流量，在定义一条合理的ACL规则之前，需要了解其基本组成。

• ACL标识：使用数字或者名称来标识ACL。

• 使用数字标识ACL：不同的类型的ACL使用不同的数字进行标识。关于每类ACL编号的详细介绍，请参见ACL的分类。

• 使用名称标识ACL：可以使用字符来标识ACL，就像用域名代替IP地址一样，更加方便记忆。

• 规则：即描述匹配条件的判断语句。

• 规则编号：用于标识ACL规则，所有规则均按照规则编号从小到大进行排序。

• 动作：包括permit/deny等动作，表示设备对所匹配的数据包接受或者丢弃。

• 匹配项：ACL定义了极其丰富的匹配项。包括生效时间段、IP协议（ICMP、TCP、UDP等）、源/目的地址以及相应的端口号（21、23、80等）。

03、交换机ACL的使用举例

交换机ACL（访问控制列表）的使用举例可以涉及多种场景，具体取决于网络管理员想要实现的安全策略和流量控制目标。以下是一些常见的使用ACL的示例：

示例一：限制特定IP地址的访问

假设网络管理员想要阻止来自IP地址192.168.1.100的所有流量通过交换机。他们可以创建一个ACL规则，该规则指定源IP地址为192.168.1.100的数据包应被拒绝。这样，当交换机接收到来自这个IP地址的数据包时，它会阻止这些数据包通过，从而限制该IP地址的访问。

示例二：允许特定服务的访问

假设网络管理员想要只允许IP地址192.168.1.50上的Web服务器（使用HTTP协议，端口80）对外提供服务。他们可以创建一个ACL规则，该规则指定源地址为任意地址、目的地址为192.168.1.50且目的端口为80的数据包应被允许通过。这样，只有针对该Web服务器的HTTP请求才能被交换机转发。

示例三：实施时间段访问控制

在某些情况下，网络管理员可能想要根据时间限制对某些资源的访问。例如，他们可能希望在晚上10点到早上6点之间禁止所有员工访问外部网络。为了实现这一点，管理员可以配置基于时间的ACL规则，这些规则将在指定的时间段内生效，并阻止或允许特定的网络流量。

示例四：保护敏感数据区域

假设网络中存在一个包含敏感数据的VLAN或子网。为了确保只有授权的设备能够访问该区域，管理员可以配置ACL来限制对该区域的访问。他们可以定义规则，只允许特定的IP地址范围或特定的MAC地址访问该VLAN或子网。

这些只是交换机ACL的一些基本使用示例。实际上，ACL的灵活性和强大性使得它们可以根据特定的网络环境和安全需求进行高度定制化的配置。然而，需要注意的是，在使用ACL时，管理员应该仔细规划并测试规则，以避免配置错误导致的网络故障或安全漏洞。

使用步骤以华为交换机为例子：

ACL的使用分为两个步骤：

设置相应的ACL规则，在配置时候需要注意流量的流向（入方向和出方向）

04、交换机ACL的匹配机制及应用场景描述

设备使用ACL的匹配机制如下图所示。

应用场景：

防火墙场景

限制用户访问场景：

04、Broadcom 芯片规格介绍

在本文中，我们总结了 ACL的概念定义、ACL的规则组成、ACL的使用举例、ACL的匹配机制、ACL的应用场景、博通ACL的规格介绍。

未来，我们计划通过系统架构设计、业务了解、芯片手册研读等方面，进一步了解ACL在数通领域的应用。

支付宝搜索：842549480

（正文完）

en

​