ACL匹配规则

最新推荐文章于 2024-05-30 14:13:07 发布
最新推荐文章于 2024-05-30 14:13:07 发布
阅读量1.5w 收藏 49
点赞数 5
分类专栏: HCIA 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zuoriqiufeng/article/details/119838931
版权

ACL - 访问控制列表

前言

image-20210806220307132

ACL: Access Control List, 访问控制列表

ACL是一种技术,不是一种协议

ACL就是第一代防火墙技术

image-20210807134106634

ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。

本示例中,网关RTA允许192.168.1.0/24中的主机可以访问外网,也就是Internet;而192.168.2.0/24中的主机则被禁止访问Internet。对于服务器A而言,情况则相反。网关允许192.168.2.0/24中的主机访问服务器A,但却禁止192.168.1.0/24中的主机访问服务器A。

image-20210807134501937

设备可以依据ACL中定义的条件(例如源IP地址)来匹配入方向的数据,并对匹配了条件的数据执行相应的动作。在本示例所述场景中,RTA依据所定义的ACL而匹配到的感兴趣流量来自192.168.2.0/24网络,RTA会对这些感兴趣流量进行加密(虚拟局域网VPN中会进行介绍)之后再转发。

image-20210807134604606

ACL工作原理

image-20210807134653578

  • ACL由一条或多条规则组成
  • 每条规则必须选择动作:允许或拒绝
  • 每条规则都有一个id序列号(默认=5,间隔=5)
  • 序列号越小越先进行匹配
  • 只要有一条规则和报文匹配,就停止查找,称为命中规则
  • 查找完所有规则,如果没有符合条件的规则,称为未命中规则
  • ACL创建后,必须将其应用到某个接口或其他技术内才会生效
  • 应用在接口是必须选择方向:入站或出站(相对设备来判断)
  • 不能过滤由设备自己产生数据

ACL规则

一个ACL可以由多条“deny | permit”语句组成,每一条语句描述了一条规则。设备收到数据流量后,会逐条匹配ACL规则,看其是否匹配。如果不匹配,则匹配下一条。一旦找到一条匹配的规则,则执行规则中定义的动作,并不再继续与后续规则进行匹配。如果找不到匹配的规则,则设备不对报文进行任何处理。需要注意的是,ACL中定义的这些规则可能存在重复或矛盾的地方。规则的匹配顺序决定了规则的优先级,ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形。

ARG3系列路由器支持两种匹配顺序:配置顺序和自动排序。

  1. 配置顺序按ACL规则编号(rule-id)从小到大的顺序进行匹配。设备会在创建ACL的过程中自动为每一条规则分配一个编号,规则编号决定了规则被匹配的顺序。例如,如果将步长设定为5,则规则编号将按照5、10、15…这样的规律自动分配。如果步长设定为2,则规则编号将按照2、4、6、8…这样的规律自动分配。通过设置步长,使规则之间留有一定的空间,用户可以在已存在的两个规则之间插入新的规则。路由器匹配规则时默认采用配置顺序。另外,ARG3系列路由器默认规则编号的步长是5。

  2. 自动排序使用“深度优先”的原则进行匹配,即根据规则的精确度排序。

本示例中,RTA收到了来自两个网络的报文。默认情况下,RTA会依据ACL的配置顺序来匹配这些报文。网络172.16.0.0/24发送的数据流量将被RTA上配置的ACL2000的规则15匹配,因此会被拒绝。而来自网络172.17.0.0/24的报文不能匹配访问控制列表中的任何规则,因此RTA对报文不做任何处理,而是正常转发。

image-20210807140532218

ACL分类

数字型 acl:

​ acl number 数字

命名型 acl:

​ acl name 名称 编号,创建命名型acl时,默认就是高级acl

根据不同的划分规则,ACL可以有不同的分类。最常见的三种分类是基本ACL、高级ACL和二层ACL。

  1. 基本ACL可以使用报文的源IP地址、分片标记和时间段信息来匹配报文,其编号取值范围是2000-2999。

  2. 高级ACL可以使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文。高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则,其编号取值范围是3000-3999。

  3. 二层ACL可以使用源/目的MAC地址以及二层协议类型等二层信息来匹配报文,其编号取值范围是4000-4999。

image-20210807140858284

image-20210807141251418

这里还有一种acl 5000-5999 这是用户自定义类型的acl 这里边匹配的规则随意搭配

在ACL中没有写的规则就是any

掩码、反掩码、通配符的区别

image-20210807141847908

ACL配置

  • acl [编号] 创建一个acl

  • rule [序列号] deny/permit [source] 192.186.1.0 0.0.0.255[通配符] 配置ACL的规则:允许或拒绝源地址为192.169.1.0/24网段内所有的流量

  • rule [序列号] den/permit tcp source 192.168.1.0 0.0.0.255 destination 8.8.8.8 0 destination-port eq 80 配置ACL规则:允许或拒绝源地址为192.168.1.0/24网段内到8.8.8.8的http流量

  • 进入对应需要配置acl的接口

    • traffic-filter inbound/outbound acl 2000 在接口调用acl过滤流量
    • display acl 2000
    • display traffic-filter appplied-record 查看设备上所有基于ACL调用情况

基本ACL配置

image-20210807144529215

高级ACL配置

image-20210807144610099

ACL接口调用建议

image-20210807145128985

一只小笨笨
关注
  • 5
    点赞
  • 49
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ACL匹配规则及相关命令
咸鱼的梦想专栏
07-28 1万+
ACL匹配原则: (1)匹配顺序是自上而下匹配的 (2)一旦匹配匹配的动作就终止(经常匹配的写在前面,细化匹配的要写在前面) (3)ACL末隐含一条deny all (4)添加的ACL会加在现有ACL末端,但在deny all前面 (5)删除一条ACL规则会导致整个A...
ACL规则
samtaoys的博客
10-16 4313
1. 基于编号的ACL无法删除特定的条目只能删除整个ACL 2. ACL只过滤通过路由器的流量,不能过滤自已产生的流量 3. ACL最后都有一条隐藏命令:deny any/deny ip any any 4. 标准ACL要放在靠近目的的地方,扩展ACL要放在靠近源的地方 5. ACL对流量从上到下匹配,找到匹配的条目马上执行,剩下条目不再查看;如果没有匹配则丢弃 6. ACL
10、ACL(访问控制列表)原理与配置
2301_76274559的博客
06-19 2562
本次主要介绍了ACL的相关技术知识,包括ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL的基本配置。
ACL的基本原理与配置
ll945608651的博客
02-10 7214
ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。ACL是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。
还不懂什么是ACL?看完这篇就没有不会的了
最新发布
SPOTO2021的博客
05-30 996
每种类型ACL对应的编号范围是不同的。ACL 2000属于基本ACLACL 3998属于高级ACL。高级ACL可以定义比基本ACL
ACL原理与配置
haoqingyu_的博客
06-07 2036
虽然我们划分了vlan,但不是流量控制,只是单纯的划分了广播域,而且三层交换机或者单臂路由,我还是可以实现不同vlan之间的通信。
ACL原理及配置
zhangchang3的博客
02-10 2403
ACL原理及配置
HCIA学习笔记(7)——ACL
小白一直白
04-27 3738
ACL(access control list) 定义:由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。 分类: 1、基本ACL,编号范围2000~2999,通过源ip进行匹配; 2、高级ACL,编号范围3000~3999,可以使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文; ...
ACL匹配顺序
cdo23112的博客
07-22 3348
由于一条ACL由多条规则组成,因此这些规则可能存在重复或矛盾等冲突地方,在将一个数据包和ACL规则进行匹配的时候,到底采用哪些规则呢?此时判断的依据就是规则匹配顺序,在创建ACL规则时指定的,有两种:配置顺序和自动排序。配置顺序顾名思义,是按照配置规则的先后顺序进行匹配;当创建ACL时如果不指定匹配顺序,则缺省是配置顺序。[FW1] ACL 3000 match-order config[FW...
H3C路由器acl匹配原则.pdf
10-30
H3C路由器acl匹配原则.pdf
ACL配置
09-27
基本ACL有一个默认规则,即如果没有匹配到任何明确定义的规则,那么数据包将被允许通过,这被称为隐含的“允许所有”。 高级ACL则提供了更精细的控制,它可以基于源IP地址、目的IP地址、端口号、协议类型等多种条件...
ACL.rar_ACL
09-21
- **最长匹配原则**:当多个规则可以匹配一个数据包时,选择匹配项最具体的规则执行。 - **拒绝默认**:如果没有匹配规则,那么默认的动作通常是拒绝数据包。 - **只匹配一次**:一旦数据包匹配到一条规则,就不会...
Acl.rar_ACL
09-21
当一个主体尝试访问客体时,系统会遍历ACL中的所有规则,直至找到匹配规则来决定是否允许访问。如果没有任何规则匹配,系统可能依据默认策略来处理,如拒绝访问。 **四、Acl.c与acl.h文件** 在给定的压缩包文件...
访问控制列表ACL学习
01-03
本文档主要介绍了ACL分类及ACL书写匹配规则及使用方法。
ACL常用的匹配
qq_32044265的博客
05-29 4599
交换机支持的ACL匹配项种类非常丰富,其中以下的几个匹配项比较常用 生效时间段 ACL的生效时间段可以规定ACL规则在何时生效,从而实现在不同的时间段设置不同的策略。 在ACL规则中引用的生效时间段存在两种模式: 周期时间段:以星期为参数来定义时间范围,表示规则以一周为周期(如每周一的8至12点)循环生效。 绝对时间段:从某年某月某日的某一时间开始,到某年某月某日的某一时间结束,表示规则在这段时间范围内生效。 同一名称(time-name)配置多条时间段时,通过以下规则选出最终生效
访问控制列表之基本ACL、高级ACL 、 高级ACL之ICMP、高级ACL之telnet
weixin_64107161的博客
01-27 9300
在学习ACL(访问控制列表)之前首先要理解一下三个问题: 一、ACL的作用,以及不同类型的ACL的区别是什么? ACL的作用是:匹配感兴趣的数据包。 ACL分为基本ACL和 高级ACL, 基本ACL,只能匹配数据包的源IP地址,匹配数据不精准; 高级ACL,可以同时匹配数据包的源IP、目标IP、源端口、目标端口、协议号,匹配数据包更加精准。 二、基本ACL和高级ACL在应用过程中的最佳调用位置: 基本ACL匹配数据不精准,所以调用在距离目标设备近的端口上; 高级ACL匹配数据精准,所以调
acl中的反掩码,acl掩码匹配规则
csgd2000的博客
10-19 4364
在此示例中,通配符掩码为0.0.0.255,前24位为0,后8位为1。最后8位数什么都没关系。此通配符与以前的IP地址192.168.1.0组合使用将匹配192.168.1.0到192.168.1.255之间的所有IP地址。另一方面,0.0.0.0中的通配符意味着所有32位都必须匹配,并且只能用host表示一个IP地址。如上所述,通配符掩码的0部分必须正确匹配,1部分可以是任何部分。访问控制列表(ACL )作为数据包的过滤器和指定类型数据包的优先级,负责将流量限制在特定数据包的优先级,从而减少网络拥塞。
请写出ACL的分类以及匹配规则
07-15
ACL (Access Control List) 是一种用于网络设备和服务器上实施访问控制的机制。根据不同的设备和系统,ACL 的分类和匹配规则可能会有所不同。以下是一些常见的 ACL 分类和匹配规则: 1. 标准 ACL: - 匹配规则:通常基于源 IP 地址进行匹配。 - 作用范围:应用于路由器的出口接口。 - 示例:允许或禁止特定源 IP 地址或地址范围的数据流。 2. 扩展 ACL: - 匹配规则:可以基于源 IP 地址、目标 IP 地址、协议类型、端口号等多个因素进行匹配。 - 作用范围:应用于路由器的入口和出口接口。 - 示例:允许或禁止特定源 IP 地址与目标 IP 地址之间的特定协议和端口数据流。 3. VLAN ACL: - 匹配规则:基于 VLAN 标识符进行匹配。 - 作用范围:应用于虚拟局域网 (VLAN) 接口。 - 示例:允许或禁止特定 VLAN 之间的数据流。 4. 基于身份的 ACL: - 匹配规则:基于用户身份、用户组、角色等进行匹配。 - 作用范围:应用于认证和授权系统。 - 示例:根据用户的身份或角色,允许或禁止用户对特定资源的访问。 需要注意的是,ACL 的具体配置和匹配规则可能会因设备和系统而异。在实际应用中,根据具体需求和网络架构,选择适合的 ACL 类型和匹配规则来实现有效的访问控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值