第十一章 ACL访问控制列表
11.1 ACL访问控制列表
作用:用于匹配IP数据流的匹配工具,然后用对应的调用工具调用ACL,实现访问访问控制。
-
-
- 介绍分类
-
- 命名型:配置ACL的时候直接对ACL进行命名
- 参考命令:
- Acl name LSJ //会自动添加数据编号
- 参考命令:
- 数据编号型:配置ACL的时候,直接使用ACL的数字编号
- 编号2000-2999,基本ACL,只能匹配数据包的源IP地址、也可以用于匹配路由条目。
- 编号3000-3999,高级ACL,可以匹配数据包的源目IP地址,源目端口号,协议类型。
- 编号4000-4999,二层ACL,可以匹配数据包的二层协议、源目MAC地址等。
- 编号5000-5999,用户自定义ACL
- 编号6000-6999,用户ACL
11.1.2 ACL规则
ACL访问控制列表由多个规则组成。
规则编号:每一条规则都有一个规则编号,默认配置的时候不指定规则编号,则步长为5,可以通过手工修改步长。
参考命令:
Step 2 //ACL列表视图,修改规则步长为2
11.1.3 通配符
- 32比特0和1组成,且0和1可以不连续。用来与匹配向进行配合使用,标识匹配项中的哪些比特位需要精确匹配,哪些比特位不需要匹配。
- 通配符中位1的部分对应的匹配项中的bit位不需要匹配,通配符位0的部分对应的匹配项中的比特位必须要要与数据包中对应位置精确匹配。
Rule 5 permit source 192.168.10.20 0.0.0.254
11000000 10101000 00001010 00010100 192.168.10.20 匹配项
00000000 0000000 000000000 11111110 可以匹配网段中的偶数
192.168.10.1 0.0.0.254 匹配网段中的奇数
11.1.4 匹配顺序
按照规则配置顺序匹配:报文的进入设备或者从设备发出,匹配报文的源IP地址和ACL 列表中的规则匹配项。从规则编号最小规则开始匹配,如果没有命中当前规则,则继续下下匹配,如果命中当前规则,则停止匹配。默认方式
深度优先匹配顺序:设备按照规则的精细程度进行匹配,越精细的规则越靠前匹配。
11.1.5 匹配位置
首先流量的方向要确定,确定了流量的方向在确定配置的位置。
Inbound方向:流量进入到设备中的接口方向是inbound方向
Outbound方向:流量从设备中转发到目的地的出接口的方向 outbound方向