ACL

一、ACL简介

1.1 ACL使用场景

ACL(访问控制列表 Access control list)，ACL的作用是对前缀进行匹配，如果需要对掩码进行匹配可以使用Ip-prefix。在华为设备上配合Traffic-filter可以实现对数据报的过滤。

1.2 ACL分类

类型	编号范围	匹配维度	典型场景
基本ACL	2000-2999	仅源IP	简单策略路由
高级ACL	3000-3999	五元组（IP、端口、协议）	精细化流量过滤
二层ACL	4000-4999	MAC地址、以太类型	交换机端口安全
用户ACL	6000-9999	用户/用户组	结合认证的访问控制

二、ACL原理

2.1 ACL执行流程

从Rule id 小 一直操作到rule id最大，一般来说会有隐式规则，但是不同厂商可能不同，最好自己写明

graph TD A[数据包到达接口] --> B{接口应用了 traffic-filter?} B -->|是| C[提取五元组] B -->|否| D[正常转发] C --> E[按ACL规则顺序匹配] E --> F{匹配到规则?} F -->|是| G{规则动作} G -->|Permit| H[允许通过] G -->|Deny| I[丢弃数据包] F -->|否| J{遍历完成?} J -->|否| E J -->|是| K[隐式拒绝] H --> L[后续处理] I --> M[更新计数器] K --> M M --> N[结束] classDef cond fill:#2d4059,stroke:#4a90e2; classDef action fill:#3a3a3a,stroke:#888; classDef allow fill:#2d5a27,stroke:#67c23a; classDef deny fill:#5a2727,stroke:#f56c6c; class B,C,F,G,J cond; class D,E,H,I,K,L,M,N action; class H allow; class I,K deny;

2.2 Traffic-filter工具

interface <接口名>
 traffic-filter { inbound | outbound } acl <ACL编号>

方向	过滤时机	典型应用场景
inbound	报文进入接口时	防止非法访问内部网络
outbound	报文从接口转发前	控制内部用户访问外网

三、通配符

3.1 通配符的简介

在华为设备的ACL配置中，通配符（Wildcard Mask）是用于指定IP地址匹配范围的关键参数。

3.2 通配符的原理

定义IP地址中需要匹配的比特位

0 表示必须匹配的位

1 表示忽略的位（不检查）

3.3 通配符的计算

rule 5 permit ip source 192.168.1.1 0.0.0.254  
# 最后一位二进制为1的地址（即奇數）

计算步骤

1. 目标IP：192.168.1.1 → 11000000.10101000.00000001.00000001
2. 通配符：0.0.0.254 → 00000000.00000000.00000000.11111110
3. 匹配结果：所有IP满足 192.168.1.xxxx xxx1（最后一位为1）

3.4 常用通配符模式

通配符	等效CIDR	描述
0.0.0.0	/32	精确匹配单个IP
0.0.0.255	/24	匹配整个C类子网
0.0.255.255	/16	匹配整个B类子网
255.255.255.255	0.0.0.0/0	匹配所有IP（any）
0.0.1.255	/23	匹配连续两个C类子网

四、ACL简单配置示例

4.1 基本ACL配置

ACL 2000
  Rule 5 deny source 1.1.1.1 0
  Rule 15 deny source 3.3.3.0 0.0.0.255
  Rule 20 permit source 3.3.3.3 0
  
# 修改步进后
ACL 2000  
  step 20
  rule 60 deny source 172.16.12.1 0 
  rule 80 permit source 1.1.11.1 0 
  rule 100 deny source 8.9.4.2 0 

4.2 高级ACL配置

ACL 3000
Rule deny/permit <protocol> source a.a.a.a b.b.b.b source-port <number> destination x.x.x.x y.y.y.y destination-port <number>