ACL

最新推荐文章于 2022-12-22 00:43:04 发布
最新推荐文章于 2022-12-22 00:43:04 发布
阅读量483 收藏
点赞数
文章标签: ACL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZRJ142098/article/details/103071434
版权

简介

访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。 [2] 

访问控制列表具有许多作用,如限制网络流量、提高网络性能;通信流量的控制,例如ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量;提供网络安全访问的基本手段;在路由器端口处决定哪种类型的通信流量被转发或被阻塞,例如,用户可以允许E-mail通信流量被路由,拒绝所有的 Telnet通信流量等。 [2] 

访问控制列表从概念上来讲并不复杂,复杂的是对它的配置和使用,许多初学者往往在使用访问控制列表时出现

工作原理

①当一个数据报进入一个端口,路由器检查这个数据报是否可路由。 [4] 

如果是可以路由的,路由器检查这个端口是否有ACL控制进入数据报。 [4] 

如果有,根据ACL中的条件指令,检查这个数据报。 [4] 

如果数据报是被允许的,就查询路由表,决定数据报的目标端口。 [4] 

②路由器检查目标端口是否存在ACL控制流出的数据报。 [4] 

若不存在,这个数据报就直接发送到目标端口。 [4] 

若存在,就再根据ACL进行取舍。然后在转发到目的端口。 [4] 

总之,一入站数据包,由路由器处理器调入内存,读取数据包的包头信息,如目标IP地址,并搜索路由器的路由表,查看是否在路由表项中,如果有,则从路由表的选择接口转发(如果无,则丢弃该数据包),数据进入该接口的访问控制列表(如果无访问控制规则,直接转发),然后按条件进行筛选。 [4] 

当ACL处理数据包时,一旦数据包与某条ACL语句匹配,则会跳过列表中剩余的其他语句,根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配,那么将依次使用ACL列表中的下一条语句测试数据包。该匹配过程会一直继续,直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配,通常会隐含拒绝一切数据包的指令。此时路由器不会让这些数据进入或送出接口,而是直接丢弃。最后这条语句通常称为隐式的“deny any”语句。由于该语句的存在,所以在ACL中应该至少包含一条permit语句,否则,默认情况下,ACL将阻止所有流量。 [5] 

ACL配置:
基本ACL:因为只能识别源IP,所以为了避免误删,调用时尽量靠近要求中的目标
[r2]acl ?
  INTEGER<2000-2999>  Basic access-list(add to current using rules)
  INTEGER<3000-3999>  Advanced access-list(add to current using rules)

[r2]acl 2000   //创建ACL 2000
[r2-acl-basic-2000]rule deny source 172.16.0.30 0   //拒绝单个IP
[r2-acl-basic-2000]rule deny source 172.16.0.30 0.0.0.255  //拒绝一个范围(网段)
[r2-acl-basic-2000]rule  deny source any    //拒绝所有
注:动作可以换成permit

[r2]interface GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000   //接口调用ACL

高级ACL:因为可以识别的更精确,所以调用时尽量靠近源
[r1]acl 3000
[r1-acl-adv-3000]rule deny tcp source 172.16.0.10 0 destination 172.16.0.1 0 destination-port eq 23
                           协议   源IP                目标IP                   目标端口号

[r1]acl name vlan10 basic/advance  命名的配置方式


[r1]display acl all  //查看所有的ACL列表
 Total quantity of nonempty ACL number is 2 

Advanced ACL 3000, 2 rules
Acl's step is 5
 rule 5 deny tcp source 172.16.0.10 0 destination 172.16.0.1 0 destination-port eq telnet 
 rule 10 deny icmp source 172.16.0.10 0 destination 172.16.0.66 0 (5 matches)

Advanced ACL vlan10 3999, 3 rules
Acl's step is 5
 rule 5 deny ip source 1.1.1.1 0 
 rule 10 deny ip source 1.1.1.2 0 
 rule 15 deny ip source 1.1.1.3 0 
     序号

ACL匹配规则:
至上而下按照顺序依次匹配,一旦匹配中流量,则不再查看下一条。

ACL的分类:
基本ACL:只能匹配数据包中的源IP地址
高级ACL:可以识别数据包中的源、目IP地址,源、目端口号以及协议号
 

ZRJ142098
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ACL内容补充
Knowledge warehouse
08-29 1498
应用模块的ACL默认动作和处理机制 : 1、流策略中的ACL默认动作是permit,在流策略中应用ACL时,如果ACL中存在规则但报文未匹配上,该报文仍可以正常通过。而Telnet中的ACL默认动作是deny,在Telnet中应用ACL时,如果遇到此种情况,该报文会被拒绝通过。 2、黑名单模块中的ACL处理机制与其他模块有所不同。在黑名单中应用ACL时,无论ACL规则配置成permit还是de...
ACL的原理及配置
zcien的博客
11-15 1967
ALC的原理及配置,附实验
ACL详解
享你所想
12-22 5596
就比如说做流控,不是说不让访问,可以访问,但要对流量、速度等做一些限制,遇到这样的情况,光靠这两种动作是无法实现这个功能的,所以,ACL在某些情况下只做第一件事 --- 只抓取流量,但不去做动作。某些设备配置了ACLACL中声明了一些匹配规则,通过这个规则来匹配一些流量,对匹配到的流量再执行相应的动作,即,提前设定好了怎么处理这些流量,比如说,是让它访问还是不让访问,从而就实现了控制的功能。---- 通过telnet管理路由器 ---- 通过web界面管理路由器 ---- 通过SNMP协议进行设备管理。
ACL入门指南:如何使用它轻松保护网络安全
weixin_43263566的博客
12-07 5784
ACL包过滤技术
访问控制列表(ACL
qq_51776588的博客
02-27 1940
ACL的概念 ACL(Access Control List) 可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。 ACL可以通过定义规则来允许或拒绝流量的通过。 ACL分类 分类 编号范围 参数 基本ACL 2000~2999 源IP地址等 高级ACL 3000~3999 源IP地址、目的IP地址、源端口、目的端口等 二层ACL 4000~4999 源M
H3C交换机 典型配置举例-6W100-ACL典型配置举例
08-04
"H3C交换机典型配置举例-6W100-ACL典型配置举例" 本文将详细介绍H3C交换机中的ACL(Access Control List,访问控制列表)典型配置举例,包括允许指定的主机访问网络和拒绝指定的主机访问网络两种配置举例。 首先,...
ACL和前缀列表区别详解.doc
03-09
ACL 和前缀列表区别详解 在网络路由中,ACL(Access Control List)和前缀列表(prefix-list)都是常用的路由条目过滤和处理工具,但是它们在实现路由条目抓取和过滤方面有着不同的特点和应用场景。 一、ACL 的...
acl
03-18
ACL,全称Access Control List(访问控制列表),是网络和软件开发中常用的一种权限管理机制。在PHP编程中,ACL用于实现对系统资源的精细访问控制,确保只有授权的用户或角色可以执行特定的操作。本篇文章将深入探讨...
ACL配置
最新发布
09-27
ACL(Access Control List,访问控制列表)是网络设备如路由器、交换机中用于实现访问控制的一种技术。它通过定义一系列的规则,根据这些规则来决定数据包是否可以通过网络设备。在网络安全和管理中,ACL起着至关...
ACL的rule中的deny/permit在各个业务模块里的场景是怎样的
zszfs的博客
10-11 5060
ACL的rule中的deny/permit在各个业务模块里的场景是怎样的
十分钟带你了解你不知道的ACL访问控制技术
03-26 2645
##前言 访问控制列表(Access Control Lists,ACL)是一种由一条或多条指令的集合,指令里面可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据接收,哪些数据需要拒绝接收。它类似于一种数据包过滤器。 ####1.为什么需要ACL技术? 当某个局域网中需要使某些主机无法访问指定的资源,时就需要这么一个技术实现流量的过滤,如下图所示,某公司为保障财务部数据安全,机制研发部门访问财务部服务器,但总裁办公室不受影响: ####2.ACL介绍 ACL是由一系列perm
ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。
运维派大星
09-02 7684
ACL访问控制列表、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。ACL匹配机制详解。ACL的分类与标识,各种ACL的作用区别
ACL配置与管理实战——1
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
11-16 2010
ACL是由一个或多个用于报文过滤的规则组成的规则集合。根据ACL所过滤的报文类型和功能的不同又分为:基本ACL、高级ACL、基本ACL6、高级ACL6、二层ACL、用户自定义ACL,还有一种特殊的动态ACL技术——自反ACLACL基础 ACL(AccessControl List,访问控制列表)是一组报文过滤规则的集合,以允许或阻止符合特定条件的报文通过。根据设备在实现该功能时的处理方式(...
华为ACL(访问控制列表)实验
爱意随风起,人生不可弃。
04-13 4632
...
route-policy和ACL组合时permit和deny的作用
weixin_33759269的博客
09-27 4680
Route-policy 实验一、 拓扑拓扑中的路由器,左边运行着RIP,右边运行着OSPF。在R2上做重分布,将RIP路由引入OSPF,并进行控制二、 在R2上做重分布,并且做route-policyR2:ospf 110 router-id 2.2.2.2 import-route rip 1 route-policy liuqingroute-policy为perm...
ACL 访问控制列表
ken6328的博客
05-09 457
应用 1.优先级判断 2.按需拨号 3.路由表过滤 类型 1.标准访问列表 只检查分组的源地址信息(从哪来的) 允许活拒绝整个协议栈 2.扩展访问列表 同时检查员和目的地址信息 可针对三层四层信息进行控制,常用 标准 1-99, 延伸的标准列表1300-1999 扩展 100-199, 延伸的扩展列表2000-2999 自主命名 1-99, 1300-1999 只针对源地址信息来决定是否过滤 1...
ACL和RouteMap的permit和deny规则在路由重分配时的动作
热门推荐
咖啡的餘香
09-18 1万+
A –--- B 两台路由器通过E1/1接口直联,运行OSPF。 A路由器配置3条静态路由: ip route 7.0.0.0 255.0.0.0 Ethernet1/1 ip route 8.0.0.0 255.0.0.0 Ethernet1/1 ip route 9.0.0.0 255.0.0.0 Ethernet1/1 A路由器ospf的配置如下: router ospf
ACL(访问控制列表)介绍及相关配置
whoim_i的博客
12-21 4837
目录介绍相关配置案例一:拒绝学生宿舍访问财务室网络。案例二:拒绝学生宿舍访问www服务。案例三:拒绝学生宿舍ping服务器,但可以访问网站。案例四:学生宿舍不可以ping服务器,不能用www.gxa.com访问网站,但可以用地址访问网站。案例五:服务器提供DNS/WEB/FTP(tcp/20、12端口)服务基于时间的ACL相关配置步骤 介绍 访问控制列表简称ACL,它使用包过滤技术,在路由器上读取...
访问控制列表-细说ACL那些事儿(ACL应用篇)
weixin_30487317的博客
09-21 2190
1、ACL应用范围 通过前两期的ACL理论学习,大家知道ACL并不能单独完成控制网络访问行为或者限制网络流量的效果,而是需要应用到具体的业务模块才能实现上述功能。 那么ACL到底可以应用在哪些业务中呢? 小编总结了一下,ACL应用的业务模块非常多,但主要分为以下四类: 业务分类 应用场景 涉及业务模块 登录控制 对交换机的登录权限进行控制...
ZXR10 ACL原理与配置详解
"RGUB_501_C1 G系列路由交换机ACL原理及配置V1.1(48)" 访问控制列表(ACL)是网络管理中的重要工具,用于控制数据流的进出,以实现对网络流量的管理和限制。本文档主要介绍了ACL的基本原理、配置步骤和应用实例。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值