ACL

网络安全 专栏收录该内容
10 篇文章 0 订阅

ACL 访问控制列表

一、产生背景

在这里插入图片描述

二、ACL概念 以及如何实现

1. 根据不同的规则

对数据包进行分类
对不同类型报文进行处理
实现对网络行为的控制,限制网络流量

2.匹配和不匹配

针对某个网段的数据流量进行操作,匹配上了就执行,没有匹配上,就不执行控制列表内的内容
ACL的对数据执行的动作 :允许/拒绝—> 针对与流量

3.ACL的分类

*基本 2000-2999 基于源IP地址的控制
*高级 3000-3999 源目IP地址,源目端口号
*二层 4000-4999 基于源目MAC地址,以太网帧类型

4.ACL如何实现

a.确定部署位置
部署在流量的必经之路上
靠近源部署
集中化部署 —> 尽量少 而精细的部署ACL规则
路由器无法控制来源于自身的数据包
b.匹配对应的流量
考虑对流量的 允许 / 拒绝
考虑 匹配到的网段/主机的IP地址
0,表示 ACL在检查数据流量的时候, 0对应的位 要 检查
1,对应的位则不关心
c.决定调用的方向 ---->ACL的掉用 一定在接口上调用的
in/ out 针对与 流量 进入 出 路由器的 行为
观察流量 流经 接口的方式
*inbound 方向上调用,先调用ACL,在进行路由转发(对于未匹配上的流量,或者 拒绝的流量,则不进行路由转发)
*outbound 方向上调用,先路由转发,在调用ACL (如果路由器根据路由表 找到数据的逃出接口,则在逃出接口上进行ACL的匹配)
d.测试
查看ACL的条目
查看ACL部署在哪一个接口上,
查看部署的方向 in out

5.ACL的匹配规则

*按序匹配 从上到下依次匹配,匹配立即停止(命中即生效)
*黑白名单 白名单模式,只有匹配上的流量才能进行 permit/deny的操作,
*隐式拒绝 一个ACL启用,在不做任何配置的情况下,默认不允许任何数据通过
tips: ACL最后的规则要设置一个允许所有的流量通过

三、实验

只允许PC1访问PC4
在这里插入图片描述
在这里插入图片描述高级ACL
在这里插入图片描述
在这里插入图片描述

  • 1
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 数字20 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值