ACL技术--访问控制列表
网络安全
网络管理---SNMP协议(早期)
ACL原理
配置了ACL的网络设备会根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对
报文执行预先设定好的处理动作
ACL是一张表,就是一系列规则的集合
ACL功能
访问控制:在设备的流入或流出接口上,匹配流量,然后执行设定的动作
流量的流入或者流出是一个相对的概念
动作
permit----允许
deny----拒绝
抓取流量
因为ACL经常与其他协议共同使用,所以ACL一般只做匹配流量的作用,而对应的动作由其他协议完成
路由策略、策略路由、防火墙、QoS技术
ACL的匹配规则
自上而下,逐一匹配
匹配上按照该规则进行执行,不再向下匹配
未匹配上,则执行默认规则
在思科设备上,ACL访问控制列表的最后隐含条件:拒绝所有规则(都没匹配上,不处理这条流量)
在华为设备上,ACL访问控制列表的最后隐含条件:允许所有规则(没有匹配上会查找路由表进行转发)
ACL分类
基本ACL 选择一个更靠近目标的
只能基于IP报文的源IP地址、报文分片标记和时间段信息来定义规则
编号:2000-2999
高级ACL
可以基于IP报文的源目IP地址、源目端口号、协议字段、IP报文优先级、报文长度等信息来定义规则
二层ACL
使用报文的以太网帧头信息来定义规则
编号:4000-4999
用户自定义ACL
即可使用IPv4报文的源IP地址,也可以使用目的IP地址,协议类型、甚至使用ICMP、TCP、UDP、IPv6等协议的各类字段信息来定义规则
编号:5000-5999
要求,PC1可以访问192.168.2.0网段,而PC2不行
分析结果
仅对源有要求,配置基本ACL即可
基本ACL配置位置
由于基本ACL仅关注数据包中的源IP地址,故配置时需尽量靠近目标,避免对其他地址访问误伤;
假设此时,在R1上配置,那么它不仅仅是无法到达192.168.2.0网段,其余网段也不可以
配置
[r2]acl 2000 --创建基本acl列表
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 --配置规则,拒绝源IP地址为192.168.1.2的地址通过
0.0.0.0这个字符串---->通配符(0代表不可变,1代表可变)
[r2-acl-basic-2000]rule 8 permit source any ---允许所有
该数字是规则的序列号,华为默认步长为5,如果未指定规则的序列号,则每条规则都是