01-ACL配置

1 ACL

1.1 ACL简介

ACL（Access Control List，访问控制列表）是一或多条规则的集合，用于识别报文流。这里的规则是指描述报文匹配条件的判断语句，匹配条件可以是报文的源地址、目的地址、端口号等。网络设备依照这些规则识别出特定的报文，并根据预先设定的策略对其进行处理。

ACL可以应用在诸多领域，其中最基本的就是应用ACL进行报文过滤，具体配置过程请参见“1.3.6 应用ACL进行报文过滤”。此外，ACL还可应用于诸如路由、安全、QoS等业务中，有关ACL在这些业务中的具体应用方式，请参见相关的配置指导。

ACL本身只能识别报文，而无法对识别出的报文进行处理，对这些报文的具体处理方式由应用ACL的业务模块来决定。

1.1.1 ACL的编号和名称

用户在创建ACL时必须为其指定编号，不同的编号对应不同类型的ACL，如表1-1所示；同时，为了便于记忆和识别，用户在创建ACL时还可选择是否为其设置名称。ACL一旦创建，便不允许用户再为其设置名称、修改或删除其原有名称。

当ACL创建完成后，用户就可以通过指定编号或名称的方式来指定该ACL，以便对其进行操作。

基本ACL、高级ACL的编号和名称各在其适用的IP版本（IPv4和IPv6）中唯一。

1.1.2 ACL的分类

根据规则制订依据的不同，可以将ACL分为如表1-1所示的几种类型。

表1-1 ACL的分类

ACL类型	编号范围	适用的IP版本	规则制订依据
基本ACL	2000～2999	IPv4	报文的源IPv4地址
基本ACL	2000～2999	IPv6	报文的源IPv6地址
高级ACL	3000～3999	IPv4	报文的源IPv4地址、目的IPv4地址、报文优先级、IPv4承载的协议类型及特性等三、四层信息
高级ACL	3000～3999	IPv6	报文的源IPv6地址、目的IPv6地址、报文优先级、IPv6承载的协议类型及特性等三、四层信息
二层ACL	4000～4999	IPv4和IPv6	报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息
用户自定义ACL	5000～5999	IPv4和IPv6	以报文头为基准，指定从报文的第几个字节开始与掩码进行“与”操作，并将提取出的字符串与用户定义的字符串进行比较，从而找出相匹配的报文

1.1.3 ACL的规则匹配顺序

当一个ACL中包含多条规则时，报文会按照一定的顺序与这些规则进行匹配，一旦匹配上某条规则便结束匹配过程。ACL的规则匹配顺序有以下两种：

· 配置顺序：按照规则编号由小到大进行匹配。

· 自动排序：按照“深度优先”原则由深到浅进行匹配，各类型ACL的“深度优先”排序法则如表1-2所示。

用户自定义ACL的规则只能按照配置顺序进行匹配，其它类型的ACL则可选择按照配置顺序或自动顺序进行匹配。

表1-2 各类型ACL的“深度优先”排序法则

ACL类型	“深度优先”排序法则
IPv4基本ACL	(1) 先判断规则的匹配条件中是否包含VPN实例，包含者优先 (2) 如果VPN实例的包含情况相同，再比较源IPv4地址范围，较小者优先 (3) 如果源IPv4地址范围也相同，再比较配置的先后次序，先配置者优先
IPv4高级ACL	(1) 先判断规则的匹配条件中是否包含VPN实例，包含者优先 (2) 如果VPN实例的包含情况相同，再比较协议范围，指定有IPv4承载的协议类型者优先 (3) 如果协议范围也相同，再比较源IPv4地址范围，较小者优先 (4) 如果源IPv4地址范围也相同，再比较目的IPv4地址范围，较小者优先 (5) 如果目的IPv4地址范围也相同，再比较四层端口（即TCP/UDP端口）号的覆盖范围，较小者优先 (6) 如果四层端口号的覆盖范围无法比较，再比较配置的先后次序，先配置者优先
IPv6基本ACL	(1) 先判断规则的匹配条件中是否包含VPN实例，包含者优先 (2) 如果VPN实例的包含情况相同，再比较源IPv6地址范围，较小者优先 (3) 如果源IPv6地址范围也相同，再比较配置的先后次序，先配置者优先
IPv6高级ACL	(1) 先判断规则的匹配条件中是否包含VPN实例，包含者优先 (2) 如果VPN实例的包含情况相同，再比较协议范围，指定有IPv6承载的协议类型者优先 (3) 如果协议范围相同，再比较源IPv6地址范围，较小者优先 (4) 如果源IPv6地址范围也相同，再比较目的IPv6地址范围，较小者优先 (5) 如果目的IPv6地址范围也相同，再比较四层端口（即TCP/UDP端口）号的覆盖范围，较小者优先 (6) 如果四层端口号的覆盖范围无法比较，再比较配置的先后次序，先配置者优先
二层ACL	(1) 先比较源MAC地址范围，较小者优先 (2) 如果源MAC地址范围相同，再比较目的MAC地址范围，较小者优先 (3) 如果目的MAC地址范围也相同，再比较配置的先后次序，先配置者优先

· 比较IPv4地址范围的大小，就是比较IPv4地址通配符掩码中“0”位的多少：“0”位越多，范围越小。通配符掩码（又称反向掩码）以点分十进制表示，并以二进制的“0”表示“匹配”，“1”表示“不关心”，这与子网掩码恰好相反，譬如子网掩码255.255.255.0对应的通配符掩码就是0.0.0.255。此外，通配符掩码中的“0”或“1”可以是不连续的，这样可以更加灵活地进行匹配，譬如0.255.0.255就是一个合法的通配符掩码。

· 比较IPv6地址范围的大小，就是比较IPv6地址前缀的长短：前缀越长，范围越小。

· 比较MAC地址范围的大小，就是比较MAC地址掩码中“1”位的多少：“1”位越多，范围越小。

1.1.4 ACL的步长

ACL中的每条规则都有自己的编号，这个编号在该ACL中是唯一的。在创建规则时，可以手工为其指定一个编号，如未手工指定编号，则由系统为其自动分配一个编号。由于规则的编号可能影响规则匹配的顺序，因此当由系统自动分配编号时，为了方便后续在已有规则之前插入新的规则，系统通常会在相邻编号之间留下一定的空间，这个空间的大小（即相邻编号之间的差值）就称为ACL的步长。譬如，当步长为5时，系统会将编号0、5、10、15……依次分配给新创建的规则。

系统为规则自动分配编号的方式如下：系统从0开始，按照步长自动分配一个大于现有最大编号的最小编号。譬如原有编号为0、5、9、10和12的五条规则，步长为5，此时如果创建一条规则且不指定编号，那么系统将自动为其分配编号15。

如果步长发生了改变，ACL内原有全部规则的编号都将自动从0开始按新步长重新排列。譬如，某ACL内原有编号为0、5、9、10和15的五条规则，当修改步长为2之后，这些规则的编号将依次变为0、2、4、6和8。

1.1.5 ACL对分片报文的处理

传统报文过滤只对分片报文的首个分片进行匹配过滤，对后续分片一律放行，因此网络攻击者通常会构造后续分片进行流量攻击。为提高网络安全性，ACL规则缺省会匹配所有非分片报文和分片报文的全部分片，但这样又带来效率低下的问题。为了兼顾网络安全和匹配效率，可将过滤规则配置为仅对后续分片有效。

1.2 ACL配置任务简介

表1-3 ACL配置任务简介

配置任务	说明	详细配置
配置基本ACL	四者至少选其一	1.3.1
配置高级ACL		1.3.2
配置二层ACL		1.3.3
配置用户自定义ACL		1.3.4
复制ACL	可选	1.3.5
应用ACL进行报文过滤	可选	1.3.6

1.3 配置ACL

1.3.1 配置基本ACL

1. 配置IPv4基本ACL

IPv4基本ACL根据报文的源IP地址来制订规则，对IPv4报文进行匹配。

表1-4 配置IPv4基本ACL

操作	命令	说明
进入系统视图	system-view	-
创建IPv4基本ACL，并进入IPv4基本ACL视图	acl number acl-number [ name acl-name ] [ match-order { auto \| config } ]	缺省情况下，不存在任何ACL IPv4基本ACL的编号范围为2000～2999 如果在创建IPv4基本ACL时为其设置了名称，则也可使用acl name acl-name命令进入其视图
（可选）配置ACL的描述信息	description text	缺省情况下，ACL没有任何描述信息
（可选）配置规则编号的步长	step step-value	缺省情况下，规则编号的步长为5
创建规则	rule [ rule-id ] { deny \| permit } [ counting \| fragment \| logging \| source { source-address source-wildcard \| any } \| time-range time-range-name \| vpn-instance vpn-instance-name ] *	缺省情况下，IPv4基本ACL内不存在任何规则 logging参数需要使用该ACL的模块支持日志记录功能，例如报文过滤
（可选）为指定规则配置描述信息	rule rule-id comment text	缺省情况下，规则没有任何描述信息

2. 配置IPv6基本ACL

IPv6基本ACL根据报文的源IPv6地址来制订规则，对IPv6报文进行匹配。

表1-5 配置IPv6基本ACL

操作	命令	说明
进入系统视图	system-view	-
创建IPv6基本ACL，并进入IPv6基本ACL视图	acl ipv6 number acl-number [ name acl-name ] [ match-order { auto \| config } ]	缺省情况下，不存在任何ACL IPv6基本ACL的编号范围为2000～2999 如果在创建IPv6基本ACL时为其设置了名称，则也可使用acl ipv6 name acl-name命令进入其视图
（可选）配置ACL的描述信息	description text	缺省情况下，ACL没有任何描述信息
（可选）配置规则编号的步长	step step-value	缺省情况下，规则编号的步长为5
创建规则	rule [ rule-id ] { deny \| permit } [ counting \| fragment \| logging \| routing [ type routing-type ] \| source { source-address source-prefix \| source-address/source-prefix \| any } \| time-range time-range-name \| vpn-instance vpn-instance-name ] *	缺省情况下，IPv6基本ACL内不存在任何规则 logging参数需要使用该ACL的模块支持日志记录功能，例如报文过滤
（可选）为指定规则配置描述信息	rule rule-id comment text	缺省情况下，规则没有任何描述信息

1.3.2 配置高级ACL

1. 配置IPv4高级ACL

IPv4高级ACL可根据报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性（如TCP/UDP的源端口和目的端口、TCP报文标识、ICMP协议的消息类型和消息码等）等信息来制定规则，对IPv4报文进行匹配。用户可利用IPv4高级ACL制订比IPv4基本ACL更准确、丰富、灵活的规则。

表1-6 配置IPv4高级ACL

操作	命令	说明
进入系统视图	system-view	-
创建IPv4高级ACL，并进入IPv4高级ACL视图	acl number acl-number [ name acl-name ] [ match-order { auto \| config } ]	缺省情况下，不存在任何ACL IPv4高级ACL的编号范围为3000～3999 如果在创建IPv4高级ACL时为其设置了名称，则也可使用acl name acl-name命令进入其视图
（可选）配置ACL的描述信息	description text	缺省情况下，ACL没有任何描述信息
（可选）配置规则编号的步长	step step-value	缺省情况下，规则编号的步长为5
创建规则	rule [ rule-id ] { deny \| permit } protocol [ { { ack ack-value \| fin fin-value \| psh psh-value \| rst rst-value \| syn syn-value \| urg urg-value } * \| established } \| counting \| destination { dest-address dest-wildcard \| any } \| destination-port operator port1 [ port2 ] \| { dscp dscp \| { precedence precedence \| tos tos } * } \| fragment \| icmp-type { icmp-type [ icmp-code ] \| icmp-message } \| logging \| source { source-address source-wildcard \| any } \| source-port operator port1 [ port2 ] \| time-range time-range-name \| vpn-instance vpn-instance-name ] *	缺省情况下，IPv4高级ACL内不存在任何规则 logging参数需要使用该ACL的模块支持日志记录功能，例如报文过滤
（可选）为指定规则配置描述信息	rule rule-id comment text	缺省情况下，规则没有任何描述信息

2. 配置IPv6高级ACL

IPv6高级ACL可根据报文的源IPv6地址、目的IPv6地址、报文优先级、IPv6承载的协议类型及特性（如TCP/UDP的源端口和目的端口、TCP报文标识、ICMPv6协议的消息类型和消息码等）等信息来制定规则，对IPv6报文进行匹配。用户可利用IPv6高级ACL制订比IPv6基本ACL更准确、丰富、灵活的规则。

表1-7 配置IPv6高级ACL

操作	命令	说明
进入系统视图	system-view	-
创建IPv6高级ACL，并进入IPv6高级ACL视图	acl ipv6 number acl-number [ name acl-name ] [ match-order { auto \| config } ]	缺省情况下，不存在任何ACL IPv6高级ACL的编号范围3000～3999 如果在创建IPv6高级ACL时为其设置了名称，则也可使用acl ipv6 name acl-name命令进入其视图
（可选）配置ACL的描述信息	description text	缺省情况下，ACL没有任何描述信息
（可选）配置规则编号的步长	step step-value	缺省情况下，规则编号的步长为5
创建规则	rule [ rule-id ] { deny \| permit } protocol [ { { ack ack-value \| fin fin-value \| psh psh-value \| rst rst-value \| syn syn-value \| urg urg-value } * \| established } \| counting \| destination { dest-address dest-prefix \| dest-address/dest-prefix \| any } \| destination-port operator port1 [ port2 ] \| dscp dscp \| flow-label flow-label-value \| fragment \| icmp6-type { icmp6-type icmp6-code \| icmp6-message } \| logging \| routing [ type routing-type ] \| hop-by-hop [ type hop-type ] \| source { source-address source-prefix \| source-address/source-prefix \| any } \| source-port operator port1 [ port2 ] \| time-range time-range-name \| vpn-instance vpn-instance-name ] *	缺省情况下，IPv6高级ACL内不存在任何规则 logging参数需要使用该ACL的模块支持日志记录功能，例如报文过滤
（可选）为指定规则配置描述信息	rule rule-id comment text	缺省情况下，规则没有任何描述信息

1.3.3 配置二层ACL

二层ACL可根据报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息来制订规则，对报文进行匹配。

表1-8 配置二层ACL

操作	命令	说明
进入系统视图	system-view	-
创建二层ACL，并进入二层ACL视图	acl number acl-number [ name acl-name ] [ match-order { auto \| config } ]	缺省情况下，不存在任何ACL 二层ACL的编号范围为4000～4999 如果在创建二层ACL时为其设置了名称，则也可使用acl name acl-name命令进入其视图
（可选）配置ACL的描述信息	description text	缺省情况下，ACL没有任何描述信息
（可选）配置规则编号的步长	step step-value	缺省情况下，规则编号的步长为5
创建规则	rule [ rule-id ] { deny \| permit } [ cos vlan-pri \| counting \| dest-mac dest-address dest-mask \| { lsap lsap-type lsap-type-mask \| type protocol-type protocol-type-mask } \| source-mac source-address source-mask \| time-range time-range-name ] *	缺省情况下，二层ACL内不存在任何规则
（可选）为指定规则配置描述信息	rule rule-id comment text	缺省情况下，规则没有任何描述信息

1.3.4 配置用户自定义ACL

用户自定义ACL可以以报文头为基准，指定从报文的第几个字节开始与掩码进行“与”操作，并将提取出的字符串与用户定义的字符串进行比较，从而找出相匹配的报文。

表1-9 配置用户自定义ACL

操作	命令	说明
进入系统视图	system-view	-
创建用户自定义ACL，并进入用户自定义ACL视图	acl number acl-number [ name acl-name ]	缺省情况下，不存在任何ACL 用户自定义ACL的编号范围为5000～5999 如果在创建用户自定义ACL时为其指定了名称，则也可使用acl name acl-name命令进入其视图
（可选）配置ACL的描述信息	description text	缺省情况下，ACL没有任何描述信息
创建规则	rule [ rule-id ] { deny \| permit } [ { l2 rule-string rule-mask offset }&<1-8> ] [ counting \| time-range time-range-name ] *	缺省情况下，用户自定义ACL内不存在任何规则
（可选）为指定规则配置描述信息	rule rule-id comment text	缺省情况下，规则没有任何描述信息

1.3.5 复制ACL

用户可通过复制一个已存在的ACL（即源ACL），来生成一个新的同类型ACL（即目的ACL）。除了ACL的编号和名称不同外，目的ACL与源ACL完全相同。

目的ACL要与源ACL的类型相同，且目的ACL必须不存在，否则将导致复制失败。

表1-10 复制ACL

操作	命令	说明
进入系统视图	system-view	-
复制并生成一个新的ACL	acl [ ipv6 ] copy { source-acl-number \| name source-acl-name } to { dest-acl-number \| name dest-acl-name }	-

1.3.6 应用ACL进行报文过滤

ACL最基本的应用就是进行报文过滤，即通过将ACL规则应用到指定接口的入或出方向上，从而对该接口收到或发出的报文进行过滤。

1. 在接口上应用ACL进行报文过滤

· 本节中的“接口”指的是二层/三层以太网接口、VLAN接口。三层以太网接口是指在以太网接口视图下通过port link-mode route命令切换为三层模式的以太网接口，有关以太网接口工作模式切换的操作，请参见“二层技术-以太网交换配置指导”中的“以太网接口配置”。

表1-11 在以太网接口上应用ACL进行报文过滤

操作	命令	说明
进入系统视图	system-view	-
进入以太网接口视图	interface interface-type interface-number	-
在以太网接口上应用ACL进行报文过滤	packet-filter [ ipv6 ] { acl-number \| name acl-name } { inbound \| outbound } [ hardware-count ]	缺省情况下，以太网接口不对报文进行过滤

表1-12 在VLAN接口上应用ACL进行报文过滤

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface interface-type interface-number	-
在VLAN接口上应用ACL进行报文过滤	packet-filter [ ipv6 ] { acl-number \| name acl-name } { inbound \| outbound } [ hardware-count ]	缺省情况下，VLAN接口不对报文进行过滤
在VLAN接口上配置报文过滤的方式	packet-filter filter [ all \| route ]	缺省情况下，VLAN接口上应用报文过滤时，只过滤匹配指定规则的三层转发报文

2. 配置报文过滤日志的生成与发送周期

在配置了报文过滤日志的生成与发送周期之后，设备将周期性地生成报文过滤日志信息并发送到信息中心，包括该周期内被匹配的报文数量以及所使用的ACL规则。关于信息中心的详细介绍请参见“网络管理和监控配置指导”中的“信息中心”。

表1-13 配置报文过滤日志的生成与发送周期

操作	命令	说明
进入系统视图	system-view	-
配置报文过滤日志的生成与发送周期	acl [ ipv6 ] logging interval interval	缺省情况下，报文过滤日志的生成与发送周期为0分钟，即不记录报文过滤的日志

3. 配置报文过滤的缺省动作

系统缺省的报文过滤动作为Permit，即允许未匹配上ACL规则的报文通过。通过本配置可更改报文过滤的缺省动作为Deny，即禁止未匹配上ACL规则的报文通过。

表1-14 配置报文过滤的缺省动作为deny

操作	命令	说明
进入系统视图	system-view	-
配置报文过滤的缺省动作为Deny	packet-filter default deny	缺省情况下，报文过滤的缺省动作为Permit，即允许未匹配上ACL规则的报文通过

1.4 ACL显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示ACL配置后的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除ACL的统计信息。

表1-15 ACL显示和维护

配置	命令
显示ACL的配置和运行情况	display acl [ ipv6 ] { acl-number \| all \| name acl-name }
显示ACL在报文过滤中的应用情况（独立运行模式）	display packet-filter interface [ interface-type interface-number ] [ inbound \| outbound ] [ slot slot-number ]
显示ACL在报文过滤中的应用情况（IRF模式）	display packet-filter { interface [ interface-type interface-number ] [ inbound \| outbound ] [ chassis chassis-number slot slot-number ]
显示ACL在报文过滤中应用的统计信息	display packet-filter statistics interface interface-type interface-number { inbound \| outbound } [ [ ipv6 ] { acl-number \| name acl-name } ] [ brief ]
显示ACL在报文过滤中应用的累加统计信息	display packet-filter statistics sum { inbound \| outbound } [ ipv6 ] { acl-number \| name acl-name } [ brief ]
显示ACL在报文过滤中的详细应用情况（独立运行模式）	display packet-filter verbose interface interface-type interface-number { inbound \| outbound } [ [ ipv6 ] { acl-number \| name acl-name } ] [ slot slot-number ]
显示ACL在报文过滤中的详细应用情况（IRF模式）	display packet-filter verbose interface interface-type interface-number { inbound \| outbound } [ [ ipv6 ] { acl-number \| name acl-name } ] [ chassis chassis-number slot slot-number ]
显示QoS和ACL资源的使用情况（独立运行模式）	display qos-acl resource [ slot slot-number ]
显示QoS和ACL资源的使用情况（IRF模式）	display qos-acl resource [ chassis chassis-number slot slot-number ]
清除ACL的统计信息	reset acl [ ipv6 ] counter { acl-number \| all \| name acl-name }
清除ACL在报文过滤中应用的统计信息（包括累加统计信息）	reset packet-filter statistics interface [ interface-type interface-number ] { inbound \| outbound } [ ipv6 ] { acl-number \| name acl-name } ]