ACL(访问控制列表)用于在数据包中抓取特定流量,依据五元组(SIP、DIP、Sport、Dport、协议)进行匹配。基本ACL基于源IP,而高级ACL则考虑源、目IP、端口和协议,提供更精细的流量管理。二层ACL基于MAC地址和以太网帧类型。华为和思科有不同的编号范围和默认行为。配置时,应将精确的规则放在前面,允许的规则在拒绝之前,并使用`displayaclall`进行查看。
1. ACL(Access Control Lists)访问控制列表。
作用是在众多数据包里面抓取某个数据流量。
本身没有过滤作用,依靠数据包里的五元组(SIP、DIP、Sport、Dport、协议)进行抓取数据流量。
如何判定是同一流量?
依靠数据包里的五元组(SIP、DIP、Sport、Dport、协议),需要这5个条件同时满足。
2. 基于接口的ACL
编号范围:1000-1999,基于接口的访问控制列表。
3. 基本ACL
基于源IP地址,只支持抓取数据包中的源地址,即源IP。ACE是ACL下的详细语句,数量不受限制。
华为VRP 编号范围:2000-2999。匹配的条件不多,一般都是SIP、DIP。
思科IOS 编号范围:1 - 99。可以写99条作用不一样的ACL,而不是只能写99条ACL。
优点:配置简单。
缺点:匹配的范围非常广泛,无法做到精细的流量匹配。
acl 2000
rule 5 permit/deny source 192.168.1.0 0.0.0.255
规则 序列号 动作 条件(匹配的是1.0网段,其中0.0.0.255是反掩码。)注意:序列号可写可不写,默认step步长为5。不建议把很多规则写成连续的序列号,并且序列号只能是正整数,匹配的顺序是按序列号从小到大的顺序进行匹配。
rule 5
rule 10
rule 15
rule 20如果rule 5规则匹配正确,则中止匹配后面的规则。
如果rule 5、10、15都没有匹配成功,而rule 20匹配完成,则中止后面的规则。
如果所有的规则都没有匹配上,默认ACL允许所有通过。
dispaly acl all #查看匹配的ACL
traffic-filter inboard/outboard acl 2000修改步长:step 10
4. 高级ACL
基于源、目IP地址,源、目端口,协议类型。
华为VRP 编号范围:3000-3999。
思科IOS 编号范围:100-199。
优点:可以更精细的流量匹配。
缺点:语法复杂。
例1:
acl 3000
rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21SIP:192.168.1.0/24
DIP:172.16.10.1/32
Sport:任意
Dport:21端口
TCP协议+21端口 = FTP
因此,可以翻译成拒绝源IP是192.168.1.0去访问目标IP是172.16.10.1的FTP连接。
匹配的时候,五个条件,缺一不可。
例2:
rule deny tcp source 182.168.2.0 0.0.0.255 destination 172.16.10.2 0.0.0.0SIP:192.168.2.0/24
DIP:172.16.10.2/32
Sport:任意端口
Dport:任意端口
协议:TCP
因此,可以翻译成拒绝源IP是192.168.2.0 去访问目标172.16.10.2的所有TCP协议。
匹配的时候,五个条件,缺一不可。
5. 二层ACL
编号范围:4000-4999,基于源、目MAC地址以太网帧类型。
6. 一旦匹配,立即执行。
7. 越匹配的ACE,越要写到前面,不精确的靠后。
8. 允许通行的靠前,拒绝的靠后。
9. 华为默认全部允许,思科默认全部拒绝。
10. 查看ACL:display all acl
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
