思科与华为访问控制列表（ACL）的区别

wslhs

　　网络基础知识
　　路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。访问控制列表是由permit |deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。
　　一、思科与华为访问控制列表分类的区别
　　1、在华为路由器里访问控制列表的用途，可以分为三类：
　　1）基本的访问控制列表（basic acl）
　　基本访问控制列表只能使用源地址信息，做为定义访问控制列表的规则的元素。通过上面小节介绍的acl的命令，可以创建一个基本的访问控制列表，同时进入基本访问控制列表视图，在基本访问控制列表视图下，可以创建基本访问控制列表的规则。
　　rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } ] [ time-range time-name ]
　　2）高级的访问控制列表（advanced acl）
　　高级访问控制列表可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性，例如TCP的源端口、目的端口，ICMP协议的类型、code等内容定义规则。可以利用高级访问控制列表定义比基本访问控制列表更准确、更丰富、更灵活的规则。
　　rule [ rule-id ] { permit | deny } protocol [ source {sour-addr sour-wildcard | any }] [ destination { dest-addr dest-wildcard | any }] [source-port operator port1 [ port2 ] ] [ destination-portoperator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ precedence precedence ] [ tos tos ] [ time-range time-name ]
　　3）基于接口的访问控制列表（interface-based acl）
　　基于接口的访问控制列表，是一种特殊的访问控制列表，可以根据接收报文的接口指定规则。
　　rule [ rule-id ] { permit | deny } { interface interface-type interface-number | any } [ time-range time-name ]
　　2、在思科路由器里访问控制列表常见的有两类
　　1）标准的访问控制列表
　　跟华为的基本访问控制列表一样，只检查数据包的源地址。
　　access-list ACL号 permit|deny host ip地址
　　2）扩展的访问控制列表
　　跟华为的高级访问控制列表类似，既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。
　　access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]
　　3）除了上述两种访问控制列表之外，思科路由器中还有：基于名称的访问控制列表、反向访问控制列表、基于时间的访问控制列表等，但在日常维护中比较少使用。
　　二、思科与华为访问控制列表编号范围的区别
　　访问控制列表的使用用途是依靠数字的范围来指定的。
　　1、在华为路由器里，2000～2999范围的访问控制列表是基本的访问控制列表，3000～3999范围的访问控制列表是高级的访问控制列表，1000～1999是基于接口的访问控制列表。
　　2、在思科路由器里，标准的访问控制列表使用 1～99 以及1300～1999之间的数字作为表号，扩展的访问控制列表使用 100～199以及2000～2699之间的数字作为表号。
　　三、思科与华为访问控制列表匹配顺序的区别
　　1、华为路由器访问控制列表匹配规则
　　一个访问控制列表可以由多条“permit | deny”语句组成，每一条语句描述的规则是不相同，这些规则可能存在重复或矛盾的地方，在将一个数据包和访问控制列表的规则进行匹配的时候，到底采用哪些规则呢？就需要确定规则的匹配顺序。
　　有两种匹配顺序：
　　1）配置顺序
　　配置顺序，是指按照用户配置ACL的规则的先后进行匹配。
　　2）自动排序
　　自动排序使用“深度优先”的原则。“深度优先”规则是把指定数据包范围最小的语句排在最前面。这一点可以通过比较地址的通配符来实现，通配符越小，则指定的主机的范围就越小。比如129.102.1.10.0.0.0指定了一台主机：129.102.1.1，而129.102.1.10.0.255.255则指定了一个网段：129.102.1.1～129.102.255.255，显然前者在访问控制规则中排在前面。具体标准为：对于基本访问控制规则的语句，直接比较源地址通配符，通配符相同的则按配置顺序；对于基于接口的访问控制规则，配置了“any”的规则排在后面，其它按配置顺序；对于高级访问控制规则，首先比较源地址通配符，相同的再比较目的地址通配符，仍相同的则比较端口号的范围，范围小的排在前面，如果端口号范围也相同则按配置顺序。
　　使用那一种匹配顺序，在创建ACL的时候就可以指定。
　　acl [ number ] acl-number [ match-order { config | auto } ]
　　2、思科路由器访问控制列表匹配规则
　　思科路由器一般情况下采用顺序匹配方式，只要一条满足就不会继续查找，另外在思科的访问控制列别中，最后一条是隐含拒绝的，即前面所有条目都不匹配的话，则默认拒绝。任何条件下只给用户能满足他们需求的最小权限。