ACL原理与配置

ACL原理

        ACL是一种权限控制机制，用于控制用户或进程对系统资源的访问。其原理是通过在网络设备（如路由器、交换机）上设置规则，限制用户或设备访问网络资源的权限。ACL规则通常包括源地址、目的地址、传输协议、端口号等信息，网络设备会检查进出数据包的这些信息，根据ACL规则判断是否允许通过。ACL实现网络资源的控制和保护，有助于优化网络安全性和性能。

ACL可以配置多条策略，根据报文来进行匹配和区分。

基本ACL与高级ACL

基本ACL和高级ACL都是ACL的不同类型，用于网络设备和操作系统中访问控制的不同场景。

基本ACL通常只能识别源IP地址或源MAC地址，并进行基本的操作，例如：允许或拒绝数据包通过过滤器，比较适合于较为单纯的网络环境。

而高级ACL根据协议类型、源IP地址、目标IP地址、源端口和目标端口等信息来过滤数据包。高级ACL操作更复杂，可以根据协议和端口号等信息，对数据包的流量进行深度检查和操作，能够更精细地控制网络流量。

高级ACL通常能够支持排除式的ACL，也就是说，可以对数据包进行多次匹配，使用排除方式逐步精细匹配不符合规则的数据包，最终形成一条细致详尽的过滤规则。相比基本ACL，高级ACL的配置更加灵活，也更符合较为复杂的网络环境下的安全需求。

基本ACL和高级ACL都有各自的优劣势，应该根据具体的网络环境和安全需求来选择适合的ACL类型。

ACL配置操作

创建ACL：

# 创建一个基于IP协议、允许源地址为10.0.0.1/24的ACL规则
[Huawei-Acl-adv-3000]acl number 3000
[Huawei-Acl-adv-3000]rule permit ip source 10.0.0.1 0.0.0.255

其中，acl number后面的数字表示ACL规则的编号，rule permit表示允许数据包通过，source表示源地址，后面是源地址和子网掩码。

应用ACL：

# 将ACL应用于一个接口的入方向
[Huawei]interface gigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

其中，traffic-filter用于配置ACL，在inbound或outbound方向中应用。acl后面的数字表示创建的ACL规则的编号。

查看ACL配置：

# 查看已经创建的所有ACL规则
[Huawei]display acl all

该命令可以查看所有ACL规则。

删除ACL规则：

# 删除ACL中特定的一条规则
[Huawei-Acl-adv-3000]undo rule id 1

该命令删除指定ACL规则中的一个或多个规则，id后面的数字表示要删除的规则的ID号。

以上命令是华为ENSP中常用的ACL命令，ACL配置涉及到网络安全，错误的配置可能会导致安全问题，因此在配置ACL时，需要认真核对每一个配置项，提前备份配置文件，做好相应的测试和验证。

实验：