8.2、访问控制列表
- 前言
- 企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定
- 访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
- ACL应用场景
- ACL可以通过定义规则来允许或拒绝流量的通过
- 应用场景
- 现在有两个网段
- 192.168.1.0/24
- 192.168.2.0/24
- 1、192.168.1.0网段的主机只能访问英特网,不能访问服务器
- 2、192.168.2.0网段的主机只能访问服务器,不能访问英特网
- 通过ACL定义规则实现应用场景
- 1、G0/0/0上只能通过192.168.1.0网段
- 2、G0/0/1上只能通过192.168.2.0网段
- 现在有两个网段
- ACL应用场景
- ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作
- RTA上定义ACL规则,如果匹配到对应网段可以进行数据加密
- 1、192.168.1.0网段,未匹配到,进行普通数据转发
- 2、192.168.2.0网段,匹配,进行数据加密转发
- ACL分类
- 三大类
- 基本ACL
- 编号范围
- 2000-2999
- 使用源IP地址匹配报文
- 编号范围
- 高级ACL
- 编号范围
- 3000-3999
- 使用源IP地址、目的IP地址、源端口、目的端口等进行匹配报文
- 编号范围
- 二层ACL
- 编号范围
- 4000-4999
- 使用源MAC地址、目的MAC地址、以太帧协议类型等进行匹配报文
- 编号范围
- 基本ACL
- ACL规则
- 每个ACL可以包含多个规则,RTA根据规则来对数据流量进行过滤
- ACL匹配
- 数据通过RTA时,开始进行匹配
- 172.16.0.0网段通过RTA
- 步长5不在范围内,无法匹配
- 步长10不在范围内,无法匹配
- 步长15在范围内,匹配
- 采取操作是deny,对于RTA不会转发172.16.0.0源地址发过来的报文
- 172.16.0.0网段通过RTA
- 数据通过RTA时,开始进行匹配
- ACL可以由多条deny和permit语句组成,每条语句描述了一条规则,设备收到数据流量后会逐条匹配ACL规则,查看是否匹配
- 如果不匹配
- 匹配下一跳
- 如果匹配
- 执行规则中定义的动作。并不在于后续规则进行匹配
- 如果找不到匹配规则
- 不对报文进行处理
- 如果不匹配
- ACL配置
- 1、创建ACL
- 2、配置ACL规则
- Rule
- 步长
- Permit
- 允许
- Deny
- 拒绝
- 通配符
- 0.0.0.255
- 0
- 不可变
- 1
- 可变
- 0
- 0.0.0.255
- Rule
- 基本ACL配置
- ACL配置
- 1、创建一个ACL
- 2、指定匹配规则
- 3、进入接口
- 在接口引入ACL
- 配置确认
- Display acl 2000
- 查看ACL规则
- Display traffic-filter applied-record
- 查看基于ACL进行报文过滤的应用消息
- 帮助用户了解ACL进行报文过滤的应用信息,包括配置情况并核对是否正确。有助于相关的故障判断和排查
- 高级ACL配置
- 高级ACL配置相对来讲比较精细一些,编号范围是3000-3999
- 高级ACL配置步骤
- 1、创建ACL
- 2、定义匹配规则
- 3、在接口出方向进行应用
- 配置验证
- ACL应用-NAT
- 本例要求通过ACL来实现主机A和主机B分别使用不同的公网地址池来进行NAT转换
- ACL还可以应用在NAT上
- 我们可以确定哪些内网地址是通过哪些特定的外网地址进行地址转换
- 1、192.168.1.0网段使用地址池1中的公网地址进行地址转换
- 2、192.168.2.0网段使用地址池2中的公网地址进行地址转换
- 本章总结
- 高级ACL可以基于哪些条件来定义规则?
- 基于源IP地址、目的IP地址
- 基于源端口号、目的端口号
- 基于协议类型
- 基于IP流量分类
- TCP标记值
- …
- 高级ACL可以基于哪些条件来定义规则?
591
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
