目  录

1 ACL

1.1 ACL简介

1.1.1 ACL的编号和名称

1.1.2 ACL的分类

1.1.3 ACL的规则匹配顺序

1.1.4 ACL的步长

1.1.5 ACL对分片报文的处理

1.2 ACL配置限制和指导

1.3 ACL配置任务简介

1.4 配置基本ACL

1.4.1 功能简介

1.4.2 配置IPv4基本ACL

1.4.3 配置IPv6基本ACL

1.5 配置高级ACL

1.5.1 功能简介

1.5.2 配置IPv4高级ACL

1.5.3 配置IPv6高级ACL

1.6 配置二层ACL

1.7 复制ACL

1.8 配置静态ACL白名单功能

1.9 应用ACL进行报文过滤

1.9.1 功能简介

1.9.2 在接口上应用ACL进行报文过滤

1.10 ACL显示和维护

1 ACL

1.1  ACL简介

ACL（Access Control List，访问控制列表）是一系列用于识别报文流的规则的集合。这里的规则是指描述报文匹配条件的判断语句，匹配条件可以是报文的源地址、目的地址、端口号等。设备依据ACL规则识别出特定的报文，并根据预先设定的策略对其进行处理，最常见的应用就是使用ACL进行报文过滤。此外，ACL还可应用于诸如路由、安全、QoS等业务中识别报文，对这些报文的具体处理方式由应用ACL的业务模块来决定。

1.1.1  ACL的编号和名称

用户在创建ACL时必须为其指定编号或名称，不同的编号对应不同类型的ACL，如表1-1所示；当ACL创建完成后，用户就可以通过指定编号或名称的方式来应用和编辑该ACL。

对于编号相同的基本ACL或高级ACL，必须通过ipv6关键字进行区分。对于名称相同的ACL，必须通过ipv6和mac关键字进行区分。

1.1.2  ACL的分类

根据规则制定依据的不同，可以将ACL分为如表1-1所示的几种类型。

表1-1 ACL的分类

1.1.3  ACL的规则匹配顺序

当一个ACL中包含多条规则时，报文会按照一定的顺序与这些规则进行匹配，一旦匹配上某条规则便结束匹配过程。ACL的规则匹配顺序有以下两种：

·     配置顺序：按照规则编号由小到大进行匹配。

·     自动排序：按照“深度优先”原则由深到浅进行匹配，各类型ACL的“深度优先”排序法则如表1-2所示。

表1-2 各类型ACL的“深度优先”排序法则

1.1.4  ACL的步长

ACL中的每条规则都有自己的编号，这个编号在该ACL中是唯一的。在创建规则时，可以手工为其指定一个编号；如未手工指定编号，则由系统为其自动分配一个编号。由于规则的编号可能影响规则匹配的顺序，因此当由系统自动分配编号时，为了方便后续在已有规则之前插入新的规则，系统通常会在相邻编号之间留下一定的空间，这个空间的大小（即相邻编号之间的差值）就称为ACL的步长。譬如，当步长为5时，系统会将编号5、10、15、20……依次分配给新创建的规则。

系统为规则自动分配编号的方式如下：系统从5开始，按照步长自动分配一个大于现有最大编号的步长最小倍数的编号。譬如原有编号为0、5、9、10和12的五条规则，步长为5，此时如果创建一条规则且不指定编号，那么系统将自动为其分配编号15。

如果步长发生了改变，ACL内原有全部规则的编号都将自动从5开始按新步长重新排列。譬如，某ACL内原有编号为0、5、9、10和15的五条规则，当修改步长为2之后，这些规则的编号将依次变为2、4、6、8和10。

需要注意的是，ACL规则的匹配顺序为自动排序时，修改步长后新的编号是按照规则的匹配顺序（即“深度优先”原则）重新排序的，并非按照规则的原有编号顺序排序。譬如，步长为5时，规则的匹配顺序为5、15、10……修改步长为2后，各规则对应的新编号为5、7、9……

1.1.5  ACL对分片报文的处理

传统报文过滤只对分片报文的首个分片进行匹配过滤，对后续分片一律放行，因此网络攻击者通常会构造后续分片进行流量攻击。为提高网络安全性，ACL规则缺省会匹配所有非分片报文和分片报文的全部分片，但这样又带来效率低下的问题。为了兼顾网络安全和匹配效率，可将过滤规则配置为仅对后续分片有效。

1.2  ACL配置限制和指导

如果以名称创建ACL，只能使用acl { [ ipv6 ] { advanced | basic } | mac } name acl-name命令进入其视图。

如果以编号创建ACL，只能使用acl { [ ipv6 ] { advanced | basic } | mac } acl-number命令进入其视图。

如果ACL规则的匹配项中包含了除IP五元组（源IP地址、源端口号、目的IP地址、目的端口号、传输层协议）、ICMP报文的消息类型和消息码信息、VPN实例、日志操作和时间段之外的其它匹配项，则设备转发ACL匹配的这类报文时会启用慢转发流程。慢转发时设备会将报文上送控制平面，计算报文相应的表项信息。执行慢转发流程时，设备的转发能力将会有所降低。

1.3  ACL配置任务简介

ACL配置任务如下

·     配置不同类型的ACL

¡     配置基本ACL

¡     配置高级ACL

¡     配置二层ACL

·     （可选）复制ACL

·     （可选）配置静态ACL白名单功能

·     （可选）应用ACL进行报文过滤

1.4  配置基本ACL

1.4.1  功能简介

基本ACL根据报文的源IP地址来制定规则，对报文进行匹配。

基本ACL可以应用在设备管理、组播业务、QoS业务和路由策略等场景中，典型应用场景如下：

·     当设备作为FTP、TFTP服务器时，为提高其安全性，可以通过配置基本ACL实现只允许满足过滤条件的客户端访问服务器。关于使用基本ACL限制客户端访问设备的详细内容，请参见“基础配置指导”中的“FTP和TFTP”。

·     在组播场景中，通过配置基本ACL，设备可以作为组播数据过滤器实现只接收或转发满足过滤条件的组播报文。关于组播数据过滤器的详细介绍，请参见“IP组播配置指导”中的“PIM”和“IPv6 PIM”。

·     当需要控制设备接收、发布的路由信息时，可以通过配置基本ACL作为路由策略的过滤器，来实现只接收或发布满足过滤条件的路由。关于路由策略的详细介绍，请参见“三层技术-IP路由配置指导”中的“路由策略”。

·     当需要对不同类型的流量进行分类操作时，可以通过配置基本ACL实现对满足过滤条件的流量进行流量监管、流量整形、流分类。关于流量监管、流量整形、流分类的详细介绍，请参见“ACL和QoS配置指导”中的“QoS”。

1.4.2  配置IPv4基本ACL

(1)     进入系统视图。

system-view

(2)     创建IPv4基本ACL。

acl basic { acl-number | name acl-name } [ match-order { auto | config } ]

(3)     （可选）配置ACL的描述信息。

description text

缺省情况下，未配置ACL的描述信息。

(4)     （可选）配置规则编号的步长。

step step-value

缺省情况下，规则编号的步长为5，起始值为5。

(5)     创建规则。

rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { source-address source-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *

logging参数是否生效取决于引用该ACL的模块是否支持日志记录功能，例如报文过滤支持日志记录功能，如果其引用的ACL规则中配置了logging参数，该参数可以生效。

(6)     （可选）为规则配置描述信息。

rule rule-id comment text

缺省情况下，未配置规则的描述信息。

1.4.3  配置IPv6基本ACL

(1)     进入系统视图。

system-view

(2)     创建IPv6基本ACL。

acl ipv6 basic { acl-number | name acl-name } [ match-order { auto | config } ]

(3)     （可选）配置ACL的描述信息。

description text

缺省情况下，未配置ACL的描述信息。

(4)     （可选）配置规则编号的步长。

step step-value

缺省情况下，规则编号的步长为5，起始值为5。

(5)     创建规则。

rule [ rule-id ] { deny | permit } [ counting | fragment | logging | routing [ type routing-type ] | source { source-address source-prefix | source-address/source-prefix | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *

logging参数是否生效取决于引用该ACL的模块是否支持日志记录功能，例如报文过滤支持日志记录功能，如果其引用的ACL规则中配置了logging参数，该参数可以生效。

(6)     （可选）为规则配置描述信息。

rule rule-id comment text

缺省情况下，未配置规则的描述信息。

1.5  配置高级ACL

1.5.1  功能简介

高级ACL可以应用在设备管理、组播业务、QoS业务和路由策略等场景中，典型应用场景如下：

·     当设备作为FTP、TFTP服务器时，为提高其安全性，可以通过配置高级ACL实现只允许满足过滤条件的客户端访问服务器。关于使用高级ACL限制客户端访问设备的详细内容，请参见“基础配置指导”中的“FTP和TFTP”。

·     在组播场景中，通过配置高级ACL，设备可以作为组播数据过滤器实现只接收或转发满足过滤条件的组播报文。关于组播数据过滤器的详细介绍，请参见“IP组播配置指导”中的“PIM”和“IPv6 PIM”。

·     当需要控制设备接收、发布的路由信息时，可以通过配置高级ACL作为路由策略的过滤器，来实现只接收或发布满足过滤条件的路由。关于路由策略的详细介绍，请参见“三层技术-IP路由配置指导”中的“路由策略”。

·     当需要对不同类型的流量进行分类操作时，可以通过配置高级ACL实现对满足过滤条件的流量进行流量监管、流量整形、流分类。关于流量监管、流量整形、流分类的详细介绍，请参见“ACL和QoS配置指导”中的“QoS”。

高级ACL可根据报文的源地址、目的地址、报文优先级、QoS本地值、承载的协议类型及特性（如TCP/UDP的源端口和目的端口、TCP报文标识、ICMP或ICMPv6协议的消息类型和消息码等）等信息来制定规则，对报文进行匹配。用户可利用高级ACL制定比基本ACL更准确、丰富、灵活的规则。

1.5.2  配置IPv4高级ACL

(1)     进入系统视图。

system-view

(2)     创建IPv4高级ACL。

acl advanced { acl-number | name acl-name } [ match-order { auto | config } ]

(3)     （可选）配置ACL的描述信息。

description text

缺省情况下，未配置ACL的描述信息。

(4)     （可选）配置规则编号的步长。

step step-value

缺省情况下，规则编号的步长为5，起始值为5。

(5)     创建规则。

rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-address dest-wildcard | any } | destination-port operator port1 [ port2 ] | { dscp dscp1 [ to dscp2 ] | { precedence precedence | tos tos } * } | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | logging | source { source-address source-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name | vpn-instance vpn-instance-name ] *

logging参数是否生效取决于引用该ACL的模块是否支持日志记录功能，例如报文过滤支持日志记录功能，如果其引用的ACL规则中配置了logging参数，该参数可以生效。

(6)     （可选）为规则配置描述信息。

rule rule-id comment text

缺省情况下，未配置规则的描述信息。

1.5.3  配置IPv6高级ACL

(1)     进入系统视图。

system-view

(2)     创建IPv6高级ACL。

acl ipv6 advanced { acl-number | name acl-name } [ match-order { auto | config } ]

(3)     （可选）配置ACL的描述信息。

description text

缺省情况下，未配置ACL的描述信息。

(4)     （可选）配置规则编号的步长。

step step-value

缺省情况下，规则编号的步长为5，起始值为5。

(5)     创建规则。

rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-address dest-prefix | dest-address/dest-prefix | any } | destination-port operator port1 [ port2 ] | dscp dscp | flow-label flow-label-value | fragment | icmp6-type { icmp6-type icmp6-code | icmp6-message } | logging | routing [ type routing-type ] | hop-by-hop [ type hop-type ] | source { source-address source-prefix | source-address/source-prefix | any } | source-port operator port1 [ port2 ] | time-range time-range-name | vpn-instance vpn-instance-name ] *

logging参数是否生效取决于引用该ACL的模块是否支持日志记录功能，例如报文过滤支持日志记录功能，如果其引用的ACL规则中配置了logging参数，该参数可以生效。

(6)     （可选）为规则配置描述信息。

rule rule-id comment text

缺省情况下，未配置规则的描述信息。

1.6  配置二层ACL

1. 功能简介

二层ACL可以应用在设备管理和QoS业务等场景中，典型应用场景如下：

·     当设备作为Telnet服务器时，为提高其安全性，可以通过配置二层ACL实现只允许满足过滤条件的客户端访问服务器。关于使用二层ACL限制客户端访问设备的详细内容，请参见“基础配置指导”中的“登录设备”。

·     当需要对不同类型的流量进行分类操作时，可以通过配置二层ACL实现对满足过滤条件的流量进行流量监管、流量整形、流分类。关于流量监管、流量整形、流分类的详细介绍，请参见“ACL和QoS配置指导”中的“QoS”。

二层ACL可根据报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型、报文的封装类型、报文的内层源MAC地址、内层目的MAC地址、内层链路层协议类型等二层信息来制定规则，对报文进行匹配。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建二层ACL。

acl mac { acl-number | name acl-name } [ match-order { auto | config } ]

(3)     （可选）配置ACL的描述信息。

description text

缺省情况下，未配置ACL的描述信息。

(4)     （可选）配置规则编号的步长。

step step-value

缺省情况下，规则编号的步长为5，起始值为5。

(5)     创建规则。

rule [ rule-id ] { deny | permit } [ cos dot1p | counting | dest-mac dest-address dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac source-address source-mask | time-range time-range-name ] *

(6)     （可选）为规则配置描述信息。

rule rule-id comment text

缺省情况下，未配置规则的描述信息。

1.7  复制ACL

1. 功能简介

用户可通过复制一个已存在的ACL（即源ACL），来生成一个新的同类型ACL（即目的ACL）。除了ACL的编号和名称不同外，目的ACL与源ACL完全相同。

2. 配置限制和指导

目的ACL要与源ACL的类型相同，且目的ACL必须不存在，否则将导致复制ACL失败。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     复制并生成一个新的ACL。

acl [ ipv6 | mac ] copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name }

1.8  配置静态ACL白名单功能

1. 功能简介

设备的CPU处理能力有限，为了避免一些需要CPU处理的报文过度占用CPU资源，需要对上送CPU（即上送控制平面）的流量进行流量监管。

上送控制平面的流量可以分为两类：

·     符合ACL白名单的流量：设备会将这类流量通过专门的协议队列优先上送控制平面处理，同时对这些符合ACL白名单的协议流量进行流量监管，避免流量过大超出控制平面的处理能力。对控制平面ACL白名单流量监管功能为默认开启状态，即默认即执行了qos car whitelist enable命令，流量监管的速率由系统自动设置，不可调整。

·     不符合ACL白名单的流量：这类流量通过数据队列上送控制平面处理，不会被优先处理。对于这类流量可以在控制平面视图下执行qos car命令来配置流量监管，可以自定义流量监管的速率。关于基于控制平面的流量监管的配置命令，请参见“ACL和QoS命令参考”中的“QoS”。

系统支持两种ACL白名单生成方式：

·     系统根据当前建立的TCP连接及其他协议会话自动生成的动态ACL白名单。动态ACL白名单规则中只有匹配报文三元组（协议类型、目的IP、目的端口号）的规则和匹配报文五元组（协议类型、源和目的IP、源和目的端口号）的规则。

·     手工配置静态ACL白名单，可以根据实际组网情况手工定义ACL白名单的规则。

通常情况下，配置静态的IPv4/IPv6高级ACL白名单可以针对网络层和传输层协议建立ACL白名单规则，例如，针对BGP协议的ACL白名单规则。静态二层ACL白名单可以针对对数据链路层的协议报文的建立ACL白名单规则，例如，针对ARP/ND协议的ACL白名单规则。

关于基于控制平面的流量监管，以及关于动态ACL白名单的介绍，请参见“ACL和QoS配置指导”中的“QoS”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置静态ACL白名单。

acl whitelist [ ipv6 | mac ] { acl-number | name acl-name }

缺省情况下，未配置静态ACL白名单。

1.9  应用ACL进行报文过滤

1.9.1  功能简介

ACL最基本的应用就是进行报文过滤。例如，将ACL规则应用到指定接口的入方向上，从而对该接口收到的报文进行过滤。

1.9.2  在接口上应用ACL进行报文过滤

1. 配置限制和指导

一个接口在一个方向上最多可应用32个ACL进行报文过滤。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     在接口上应用ACL进行报文过滤。

packet-filter [ ipv6 ] { acl-number | name acl-name } inbound [ share-mode ]

缺省情况下，未配置接口的报文过滤。

1.10  ACL显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示ACL配置后的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除ACL的统计信息。

表1-3 ACL显示和维护