ACL类型及区别

实际网络维护中选择准确的ACL类型，不仅能够精准的防止网络中的报文攻击和控制网络访问，实现了网络对安全、可靠和稳定的保障要求；也能够减少网络传输中不必要的报文，节省网络资源；并且能够降低网络的维护工作量。

发布时间：2022-12-07
点击量：
点赞：

分享至

我想评论

1 前言

通过《ACL基本概念及原理介绍》一文，我们介绍了ACL的基本概念及工作原理。知道了什么是ACL，ACL作用是什么。本文在此基础上，将继续介绍ACL类型及他们之间的区别。

2 ACL分类

根据不同的匹配规则，ACL类型可以分为标准ACL、扩展ACL和ACL80。

● 标准ACL

标准ACL，也称为基本ACL，IP标准ACL。通过匹配IP报文的源地址对报文进行过滤或分类。

● 扩展ACL

扩展ACL在标准ACL基础之上扩展了过滤域。可以根据报文的源地址、目的地址、协议类型等字段的匹配结果，对报文进行过滤或者分类。扩展ACL又分为以下类型。

○ IPv4扩展ACL

IPv4扩展ACL根据IPv4报文的源IP地址、目的IP地址、IP协议号、报文优先级、四层源端口号、ICMP type、四层目的端口号或ICMP code等三、四层字段对报文进行过滤或者分类。

○ IPv6扩展ACL

IPv6扩展ACL主要根据IPv6报文的源IPv6地址、目的IPv6地址、IP协议号、四层源端口号或ICMPv6 type、四层目的端口号或ICMPv6 code等三、四层字段对报文进行过滤或者分类。

○ MAC扩展ACL

MAC扩展ACL主要根据报文的源MAC地址、目的MAC地址以及报文的以太网类型等二层字段对报文进行过滤或者分类。

○ 专家级扩展ACL

专家级扩展ACL可以看作是IP扩展ACL和MAC扩展ACL的一种结合与增强。专家级扩展ACL中的规则除了包含IP扩展ACL规则和MAC扩展ACL规则，还可以基于VLAN ID来匹配报文。因此专家级扩展ACL是基于报文的二层、三层和四层信息对报文进行过滤或者分类。

● ACL80

ACL80，也称为自定义ACL。ACL80支持对报文的前80个字节中的指定字节按比特位进行匹配。ACL80匹配时有三个要素：匹配域内容、匹配域掩码以及匹配的起始位置（即偏移量offset）。匹配域内容和匹配域掩码两者的比特位是一一对应的。匹配域内容指明需要匹配的字段值，匹配域掩码指明对应比特位是否需要匹配。当需要匹配某个比特位时，必须将匹配域掩码中对应的比特位设置为1。如果匹配域掩码对应的比特位设置为0，无论匹配域内容中对应的比特位是什么，都不会匹配。

3 不同类型ACL的区别

不同的ACL类型之间的区别见表3-1。

表3-1 ACL的区别说明表

ACL类型	ACL编号范围	ACL过滤域
IP标准ACL	1~99，1300~1999	匹配报文的源IP地址
IP扩展ACL	100~199，2000~2699	匹配报文的三、四层字段：比如源IP地址、目的IP地址、IP协议号、报文优先级、四层源端口号或ICMP type、四层目的端口号或ICMP code等三层或四层字段
MAC扩展ACL	700~799	匹配报文的二层字段：比如源MAC地址、目的MAC地址、以太网协议类型等二层字段
IPv6扩展ACL	无	匹配IPv6报文的字段：比如源IPv6地址、目的IPv6地址、IP协议号、四层源端口号或ICMP type、四层目的端口号或ICMP code等三、四层字段
专家级扩展ACL	2700~2899	匹配报文的字段：比如源IP地址、目的IP地址、IP协议号、四层源端口号或ICMP type、四层目的端口号或ICMP code、源MAC地址、目的MAC地址、以太网协议类型、VLAN ID等
自定义ACL	无	由用户自行定义，对报文的前80个字节中的指定字节按比特位进行匹配