ACL類型及區別

實際網絡維護中選擇準確的ACL類型，不僅能夠精準的防止網絡中的報文攻擊和控制網絡訪問，實現了網絡對安全、可靠和穩定的保障要求；也能夠減少網絡傳輸中不必要的報文，節省網絡資源；并且能夠降低網絡的維護工作量。

發布時間：2022-12-07
點擊量：
點贊：

分享至

我想評論

1 前言

通過《ACL基本概念及原理介紹》一文，我們介紹了ACL的基本概念及工作原理。知道了什么是ACL，ACL作用是什么。本文在此基礎上，將繼續介紹ACL類型及他們之間的區別。

2 ACL分類

根據不同的匹配規則，ACL類型可以分為標準ACL、擴展ACL和ACL80。

● 標準ACL

標準ACL，也稱為基本ACL，IP標準ACL。通過匹配IP報文的源地址對報文進行過濾或分類。

● 擴展ACL

擴展ACL在標準ACL基礎之上擴展了過濾域。可以根據報文的源地址、目的地址、協議類型等字段的匹配結果，對報文進行過濾或者分類。擴展ACL又分為以下類型。

○ IPv4擴展ACL

IPv4擴展ACL根據IPv4報文的源IP地址、目的IP地址、IP協議號、報文優先級、四層源端口號、ICMP type、四層目的端口號或ICMP code等三、四層字段對報文進行過濾或者分類。

○ IPv6擴展ACL

IPv6擴展ACL主要根據IPv6報文的源IPv6地址、目的IPv6地址、IP協議號、四層源端口號或ICMPv6 type、四層目的端口號或ICMPv6 code等三、四層字段對報文進行過濾或者分類。

○ MAC擴展ACL

MAC擴展ACL主要根據報文的源MAC地址、目的MAC地址以及報文的以太網類型等二層字段對報文進行過濾或者分類。

○ 專家級擴展ACL

專家級擴展ACL可以看作是IP擴展ACL和MAC擴展ACL的一種結合與增強。專家級擴展ACL中的規則除了包含IP擴展ACL規則和MAC擴展ACL規則，還可以基于VLAN ID來匹配報文。因此專家級擴展ACL是基于報文的二層、三層和四層信息對報文進行過濾或者分類。

● ACL80

ACL80，也稱為自定義ACL。ACL80支持對報文的前80個字節中的指定字節按比特位進行匹配。ACL80匹配時有三個要素：匹配域內容、匹配域掩碼以及匹配的起始位置（即偏移量offset）。匹配域內容和匹配域掩碼兩者的比特位是一一對應的。匹配域內容指明需要匹配的字段值，匹配域掩碼指明對應比特位是否需要匹配。當需要匹配某個比特位時，必須將匹配域掩碼中對應的比特位設置為1。如果匹配域掩碼對應的比特位設置為0，無論匹配域內容中對應的比特位是什么，都不會匹配。

3 不同類型ACL的區別

不同的ACL類型之間的區別見表3-1。

表3-1 ACL的區別說明表

ACL類型	ACL編號范圍	ACL過濾域
IP標準ACL	1~99，1300~1999	匹配報文的源IP地址
IP擴展ACL	100~199，2000~2699	匹配報文的三、四層字段：比如源IP地址、目的IP地址、IP協議號、報文優先級、四層源端口號或ICMP type、四層目的端口號或ICMP code等三層或四層字段
MAC擴展ACL	700~799	匹配報文的二層字段：比如源MAC地址、目的MAC地址、以太網協議類型等二層字段
IPv6擴展ACL	無	匹配IPv6報文的字段：比如源IPv6地址、目的IPv6地址、IP協議號、四層源端口號或ICMP type、四層目的端口號或ICMP code等三、四層字段
專家級擴展ACL	2700~2899	匹配報文的字段：比如源IP地址、目的IP地址、IP協議號、四層源端口號或ICMP type、四層目的端口號或ICMP code、源MAC地址、目的MAC地址、以太網協議類型、VLAN ID等
自定義ACL	無	由用戶自行定義，對報文的前80個字節中的指定字節按比特位進行匹配