华为H3C-ACL操作手册

fonglf

华为H3C-ACL操作手册


ACL 简介
随着网络规模的扩大和流量的增加，对网络安全的控制和对带宽的分配成为网络管理的重要内容。
通过对数据包进行过滤，可以有效防止非法用户对网络的访问，同时也可以控制流量，节约网络
资源。ACL（Access Control List，访问控制列表）即是通过配置对报文的匹配规则和处理操作
来实现包过滤的功能。
当交换机的端口接收到报文后，即根据当前端口上应用的ACL 规则对报文的字段进行分析，在识
别出特定的报文之后，根据预先设定的策略允许或禁止相应的数据包通过。
由 ACL 定义的数据包匹配规则，也可以被其它需要对流量进行区分的功能引用，如QoS 中流分
类规则的定义。
ACL 通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端
口号等。根据应用目的，可将ACL 分为以下几种：
.. 基本 ACL：只根据数据包的源IP 地址制定规则。
.. 高级 ACL：根据数据包的源IP 地址、目的IP 地址、IP 承载的协议类型、协议特性等三、
四层信息制定规则。
.. 二层 ACL：根据数据包的源MAC 地址、目的MAC 地址、802.1p 优先级、二层协议类型等
二层信息制定规则。
.. 用户自定义ACL：以数据包的头部为基准，指定从第几个字节开始与掩码进行“与”操作，
将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。