ACL访问控制列表:通过对网络中白问流的精确识别与其他技术相结合(策略路由PBR、IPsec、NAT等等结合使用),达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
功能:
1、流量过滤:有限的互访。
ACL由一系列的permit(允许)或deny(拒绝)语句组成的、有序(顺序)规则列表。
ACL是一个匹配工具,能够对报文进行匹配和区分。
五元组:源目IP、源目端口、协议类型
华为隐藏默认规则是premit。(思科是deny)
[R2]acl 2000 | 创建ACL2000条目 |
[R2-acl-basic-2000]rule deny source 1.1.1.1 0.0.0.0 | 拒绝放行源IP为1.1.1.1的报文 |
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 | 接口启用ACL规则 |
之前可以通:
接口启用ACL规则2000后不能通:
[R2-acl-basic-2000]rule 4294967294 deny | 拒绝放行所有流量 |
默认拒绝所有可能导致之后运行路由协议报文被拒绝,导致路由无法传递(默认允许还是比较好的 )。
运营商默认允许好,企业网默认拒绝好。
不同场景默认规则也不同(在telnet中vty里默认是拒绝)。
规则编号:一个ACL中每一条规则都有一个相应的编号。
步长:每个编号之间的差值,默认为5,方便旧规则之间插入新的规则。
重新调整步长,像新设定的看齐:
子网掩码:配置IP地址时,配置子网掩码。
反掩码:OSPF配置用到的反掩码,255.255.255.255-子网掩码=反掩码,0代表匹配,1代表忽略,反掩码的0和1是连续的(子网掩码是1和0连续,全255减去掩码都是连续的)。
通配符掩码:ACL用到通配符掩码,0代表匹配,1代表忽略,0和1可以不连续。
报文匹配规则后立即按规则的动作处理,不在继续向下匹配规则。
匹配地址Bit多的规则尽量使用小规则号。
全匹配
ACL分类和标识:
匹配规则:
1、auto(按精确度):自动排序,将规则按照匹配精确度,从高到低进行匹配(管理员不用关系规则的逻辑性)。
2、config(按配置):按照规则号顺序匹配(默认的)
ACL分类:
ACL规则生效时间:
每天9点到下午5点半,周一到周六
高级ACL:凡是定义出来都要匹配是与的意思。
ACL可以针对目标IP地址是组播的。
基本ACL只能针对一个源来做管控,高级ACL可以做更精细化的管控。
二层ACL这个IP是匹配的帧中类型字段取值:
用户ACL是安全里边做了802.1x或者portal认证协议后,由认证服务器自动下发的设备的访问控制列表。
命名ACL:
1、advance高级ACL:
2、basic基本ACL:
ACL的匹配机制:
ACL的匹配位置:
1、inbound入站:只对报文收的接口生效。
2、outbound出站:只对接口发出去的流量生效。
outbonud出站对路由器自己始发的流量不会过滤,只有对穿越流量有效果。
单通的问题:
A---------C------------B
A可以访问B,B不能访问A。
C左边接口入站允许A通信,右边接口入站不允许B通信。
用一个ACL在入站上拒绝就可以实现,但是市场部还能流量到研发能过去,但回不来,但流量单向过去了容易产生风险(DDOS攻击),所以两个接口都用。
基本ACL和高级ACL如何合理使用?
基本ACL定义的是源地址,尽量靠近源配置。
高级ACL尽量靠近目的地配置,一网打尽。