技术干货——网络访问控制列表ACL，读懂这一篇就够了

    网络访问控制列表ACL 概述

    访问控制列表（ACL）是路由器和交换机接口上的命令列表，用于控制端口的传入和传出数据包。 配置ACL之后，您可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等等。 信息点之间的通信以及内部和外部网络之间的通信是企业网络中必不可少的业务要求。 为了确保内部网络的安全，需要采用安全策略，以确保未经授权的用户只能访问特定的网络资源来达到控制目的。 简而言之，ACL可以过滤网络中的数据包，并且是一种控制访问的网络技术手段。

    工作原理

    单个端口用于指示哪个ACL由某个端口执行，需要根据列表中条件语句的执行顺序来判断哪个ACL。 如果数据包的报头与表中的条件判断语句匹配，则以下语句将被忽略，并且将不执行进一步的检查。

    仅当数据包与第一个判断条件不匹配时，才将其移交给ACL中的下一个条件判断语句以进行比较。 如果匹配（假设允许发送），则无论以下语句如何，数据都将立即发送到目标接口。 如果检测到所有ACL判断语句，但仍然没有匹配的语句退出，则该数据包将被视为已拒绝并被丢弃。

    ACL 组设置

    配置步骤

    1. 在导航栏中选择[高级配置/ ACL / ACL组设置]，进入ACL组界面。

    2. 在[ACL组设置]界面中，可以看到添加的ACL组信息，如图1所示。

    图1 ACL组信息

    3. 要添加ACL组，请单击<添加>进入[ACL组设置]界面，如图6.2所示。 在序列号列中为该组分配一个序列号（0-3999），并在组名称列中为该组设置一个名称。 名称不能重复。 在&ldquo;绑定到端口&rdquo;列中，选择要将组绑定到的端口。 如果未绑定到端口，则无法使用该组。 填写相应的配置项后，单击<应用>完成配置。

    图2 ACL组设置界面

    4.如果需要修改ACL组配置，请选择一个ACL组，然后单击<Modify>进入[ACL Group Settings]界面。 填写所需的配置项，然后单击<Apply>以完成配置。

    5.要删除ACL组配置，请选择一个ACL组，然后单击<Delete>删除配置。

    配置项目说明

    表1 ACL组配置项说明

    ACL 规则

    规则设置

    配置步骤

    1.在导航栏中选择&ldquo;高级配置/ ACL / ACL规则设置&rdquo;，进入ACL规则视图界面，如图3所示。

    2. I在[ACL Rule Settings]界面中，选择时间间隔列，第一个下拉列表选择组间隔，第二个下拉列表选择组间隔内的特定组。 接下来的两行显示所选的组名和该组绑定到的端口。 该表显示了已为此组配置的ACL规则。 单击过滤器规则栏中的图标以展开以查看过滤器规则的特定内容。 展开后图标更改，改变。

    图 3 ACL规则视图界面

    3．如需添加 ACL 规则，单击<添加>，进入[ACL 规则设置]界面。其中过滤规则一项， 可以通过下拉列表选择不同的过滤项，然后会自动出现相应的过滤项供用户填写。也可以通过右侧的<删除>按钮，删除相应的过滤项。相应的配置项填写完毕后，单击<应用>，完成配置。

    图 4 ACL 规则设置界面

    4．如需修改 ACL 规则，勾选某条 ACL 后单击<修改>，进入[ACL 规则设置]界面。填写应的配置项，单击<应用>，完成配置。

    5．如需删除 ACL 规则，勾选某条 ACL 后单击<删除>，删除配置。

    配置项说明

    表 6.1 ACL 规则项说明

    表 6.2 匹配项说明

    注：匹配掩码为 1 时，则匹配，为 0 时则不匹配。