思科与华为ACL使用区别

Posted 2022-05-19 mexfhh

       ACL在交换机路由器上会时常使用到，一般用的场景主要为:网络间的访问控制;策略路由等高层控制机制的调用。

在实际使用过程中思科和华为的设备对于ACL的使用是存在一定的区别的。本文将对现实中遇到的区别做些说明及举例让初学者有一定的认识。

一、思科ACL

ACL大量的应用与交换机、路由器、防火墙等设备上，ACL是各种网络访问控制策略的基础"网元"。在思科ACL体系中默认有个隐式ACE 为deny any。我们知道ACL有一条条规则（ACE)组成。

access-list 100   permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

上面那条ACL 定义了 1网段能访问2网段，那其他网段之间是无法访问的因为默认有个隐式ACE deny any any 在后面只是我们看不到而已。

写完一个ACL如果只是用来控制访问的话，acl可以在物理接口、逻辑三层接口上调用当有匹配到流量后将执行ACE的相关动作（允许或者禁止）

当ACL为更高一级应用调用时含义也就有些区别了，以下我们以策略路由中的ACL为例说明：

access-list 100   deny   ip 192.168.1.0 0.0.0.255 10.1.1.0  0.0.0.255

access-list 100   permit ip 192.168.1.0 0.0.0.255 10.1.0.0  0.0.255.255

上面的ACL的在策略路由中调用后的结果是： 192.168.1.0/24访问10.1.0.0/16网络中除10.1.1.0/24外的流量将被匹配到，此匹配到的流量将根据策略路由的规则进行处理。

二、华为ACL

华为ACL写法与思科的写法稍微有点区别的，如果想要实现上面思科access-list 100   permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255的一样的功能则华为的写法如下：

acl number 3000

rule 5  permit ip source 192.168.1.0 0.0.0.255  destination 192.168.2.0  0.0.0.255

rule 10  deny  ip any (为什么要加这条ACE）见下面的表格说明

完成ACL后可以在相应的物理接口、VLAN中直接调用 （华为称简化流策略）调用方法如下：

1、在接口上调用traffic-filter inbound acl 3000

2、在vlan中调用traffic-filter vlan vlan-id inbound acl 3000

而被策略路由调用时就有很大的差别了，华为有几个步骤

1、配置流分类 traffic classifier classifier-name   调用ACL

2、配置流行为 traffic behavior   定义动作 permit/deny

3、配置流策略 traffic policy policy-name    执行命令classifier classifier-name behavior behavior-name，在流策略中为指定的流分类配置所需流行为，即绑定流分类和流行为。

4、应用流策略  在接口、VLAN视图、全局视图下，执行命令traffic-policy policy-name  inbound | outbound ，应用流策略

如果想要实现思科的策略路由流量匹配一样的效果则华为需要写以下两个ACL才能实现与思科一样的效果

acl number 3000 

rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

acl number 3001

rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 10.1.0.0 0.0.255.255

之后在创建的两个流分类中分别调用acl 3000 和acl 3001 ,接着创建两个流动作第一个流动作为permit 最后在流策略traffic-policy中同时引用两个流策略和流行为，acl3000的流策略流行为需放在前面，最后在接口或者vlan、全局中调用流策略。

示例：

class 123

if-match acl 3000

class 456

if-match acl 3001

beh 123

permit

beh 456

redirect ip-nexthop x.x.x.x

traffic policy 123456

class 123 beh 123

class 456 beh 456

interface Vlanif2005

traffic-policy 123456 inbound