访问控制列表——ACL

最新推荐文章于 2024-05-04 21:46:38 发布
最新推荐文章于 2024-05-04 21:46:38 发布
阅读量3w 收藏 708
点赞数 89
分类专栏: Datacom-HCIA学习日记 文章标签: p2p 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunboy_guo/article/details/124819691
版权

1.ACL简介

        当需要针对数据流量或者报文进行一些过滤的时候,需要一个抓取要过滤的工具。类似于过滤石灰粉和石子的过程,那么我们是需要一个滤网或者其他的过滤工具来进行筛选。经过筛选获取到的石子,是丢弃还是用作其他用途,并不是过滤工具来决定的,它是取决于调用工具的时候,来判断,是否需要这些石子,或者丢弃。

        ACL(访问控制列表)就提供了类似于滤网的功能,它可以精准匹配到想要抓取的报文或者流量,然后在不同的场景下,去应用ACL的功能。

2.ACL的组成

        ACL是由多条不同的规则组成的,这些规则组成了一个滤网的功能,通过permit/deny的动作,来决定是抓取还是不抓取。

 rule 5 permit source 192.168.1.0 0.0.0.255 
 rule 10 deny source 192.168.2.0 0.0.0.255 
 rule 15 deny

        上面是ACL的三条规则,rule是规则关键字,后面的数字5,10,15是规则编号,这个编号在配置的时候可以指明也可以不指明,但是一条规则就是一个编号,编号不能重复。如果不指明编号,默认第一条规则的编号是5,后面每增加一条规则,编号就会加5,也就是说默认的编号是从5开始,步长是5,即每增加一个编号,编号就会在上一条规则编号的基础上加5。之所以留出编号的间隔,是为了能够适应各种应用场景,方便在规则之间,插入新的规则。ACL在进行匹配的时候,是根据编号的顺序,从小到大一条条往下进行的,一旦由匹配到的规则,则不会继续向下匹配,如果匹配到最后都没有,则命中默认规则,默认是deny所有。规则编号的默认步长可以修改,修改了步长以后,所有的规则根据新的步长重新自动排号,为新步长的整倍数,顺序不会改变。

        ACL有两个动作,permit和deny,permit相当于石子,在漏网里;deny相当于石灰粉,即过滤掉了,不在漏网中。

        source是指根据源来进行过滤的,是过滤的条件,当然也可以有其他的一些过滤条件。也就是在选对象的时候,可以身高进行筛选,也可以根据体重等其他属性来进行筛选。

        192.168.1.0是网络前缀,后面紧跟的0.0.0.255是通配符,不是网络掩码。通配符为0则表示不可变,为1表示可变。即前面24为不能变,必须是192.168.1,后面8位可以自由组合。

网络前缀192.168.1.00000000
通配符0.0.0.11111111
表示范围192.168.1.0-192.168.1.255

        通配符是为了精准匹配要控制的范围,可以不连续。 

        反掩码是子网掩码进行非运算得出的,由于子网掩码是连续的,所以反掩码也必须是连续的。

3.ACL分类

        ACL根据编号可以分为一下几类:

                基本ACL:编号范围2000-2999,可以通过匹配源IP进行过滤。

                高级ACL:编号范围3000-3999,可以通过匹配源目IP、源目端口、协议等进行匹配。

                二层ACL:编号范围4000-4999,可以通过匹配源目MAC等进行匹配。

                用户自定义ACL:编号范围5000-5999

                用户ACL:编号范围6000-6999

        ACL的编号不同于规则中的rule编号,ACL的编号相当于是水缸编号,规则编号则是水缸中的每一条鱼的编号。

4.ACL的写法以及经典案例

        案例一:

                匹配192.168.1.1单个IP地址


acl 2000
    rule 5 permit source 192.168.1.1 0

        案例二:

                匹配192.168.1.0/24整个网段的地址

acl 2000
    rule 5 permit source 192.168.1.0 0.0.0.255

         案例三:

                匹配192.168.1.0/24整个网段的地址,拒绝192.168.2.0/24网段的地址

acl 2000
    rule 5 permit source 192.168.1.0 0.0.0.255
    rule 10 deny source 192.168.2.0 0.0.0.255

 

          案例四:

                匹配192.168.1.0,192.168.1.1,192.168.1.2,192.168.1.3

acl 2000
    rule 15 permit source 192.168.1.0 0.0.0.3

               ACL规则的标准是精确匹配,简化规则,虽然也可以写4条permit规则,但是地址过多的时候,工作量剧增,因此可以通过通配符整合为一条规则。 

         分析:

192.168.1.0192.168.1.00000000
192.168.1.1192.168.1.00000001
192.168.1.2192.168.1.00000010
192.168.1.3192.168.1.00000011
通配符0.0.0.3

         由于4个地址的前30位都是不变的,只有后面两位是变动的,因此通配符位0.0.0.3

        案例五:

                匹配192.168.1.12——192.168.1.19

acl 2000
    rule 5 permit source 192.168.1.12 0.0.0.3 
    rule 10 permit source 192.168.1.16 0.0.0.3

                分析:

192.168.1.12192.168.1.00001100
192.168.1.13192.168.1.00001101
192.168.1.14192.168.1.00001110
192.168.1.15192.168.1.00001111
192.168.1.16192.168.1.00010000
192.168.1.17192.168.1.00010001
192.168.1.18192.168.1.00010010
192.168.1.19192.168.1.00010011

         由于12-15之间不变的位相同,16-19之间不变的位相同,由于是两个不同的不变位,所以没办法集合位一条规则进行匹配,因此需要两条规则。

        12-15的前缀和通配符为:192.168.1.12  0.0.0.3 

        16-19的前缀和通配符为:192.168.1.16  0.0.0.3 

        案例六:

                匹配192.168.1.0/24的奇偶数地址

acl 2000
    rule 5 permit source 192.168.1.0 0.0.0.254 ----仅匹配偶数地址
acl 2001
    rule 5 permit source 192.168.1.1 0.0.0.254 ----仅匹配奇数地址

        案例七:

                匹配除了RFC1918以外的其他地址

acl number 2000  
 rule 5 deny source 10.0.0.0 0.0.0.255 
 rule 10 deny source 172.16.0.0 0.15.255.255 
 rule 15 deny source 192.168.0.0 0.0.255.255 
 rule 20 permit

5.ACL的调用方式

        可以在过滤数据包时调用,匹配的数据包通过,不匹配的数据包不通过。

        可以在路由策略中调用。

        可以在Qos中调用。

        可以在团体属性中调用等。

        在过滤数据包时,分为inbound和outbound两个方向。

        inbound方向:数据发送来时,先查看接口下是否调用了inbound方向的ACL,没有则直接接收;有则查看是否允许通过,permit则接收数据,deny则丢弃数据。

          outbound方向:数据发送时,先查看路由表,无路由则不转发,有路由,再先查看路由接口下是否调用了outbound方向的ACL,没有则直接转发;有则查看是否允许通过,permit则转发数据,deny则不转发数据。

        在outbound方向时,如果是本设备始发的数据,则ACL不生效。

6.ACL的配置实验

        拓扑:

 描述:要求R1和R2不能互访,R1也不能访问R4,其他可以互相访问。

基本信息:

设备接口IP地址子网掩码网关
PC1E0/0/1192.168.1.1255.255.255.0192.168.1.254
PC2E0/0/1192.168.2.1255.255.255.0192.168.2.254
PC3E0/0/1192.168.3.1255.255.255.0192.168.3.254
PC4E0/0/1192.168.4.1255.255.255.0192.168.4.254
R1G0/0/010.1.12.1255.255.255.0
G0/0/1192.168.1.254255.255.255.0
G0/0/2192.168.2.254255.255.255.0
R2G0/0/010.1.12.2255.255.255.0
G0/0/1192.168.3.254255.255.255.0
G0/0/2192.168.4.254255.255.255.0

R1配置:      

[r1-GigabitEthernet0/0/0]ip address 10.1.12.1 255.255.255.0 --配置接口IP
[r1-GigabitEthernet0/0/1]ip address 192.168.1.254 255.255.255.0 --配置接口IP
[r1-GigabitEthernet0/0/2]ip address 192.168.2.254 255.255.255.0 --配置接口IP
[r1]ip route-static 192.168.3.0 255.255.255.0 10.1.12.2 ---配置静态路由
[r1]ip route-static 192.168.4.0 255.255.255.0 10.1.12.2 ---配置静态路由
[r1]acl 2000 ---创建基本ACL 2000
[r1-acl-basic-2000]rule 5 deny source 192.168.1.0 0.0.0.255 ----deny源192.168.1.0
[r1-acl-basic-2000]rule 10 permit ----其他默认permit
[r1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000 ---在接口的出方向调用acl 2000

 R2配置:      

[r2-GigabitEthernet0/0/0]ip address 10.1.12.2 255.255.255.0 --配置接口IP
[r2-GigabitEthernet0/0/1]ip address 192.168.3.254 255.255.255.0 --配置接口IP
[r2-GigabitEthernet0/0/2]ip address 192.168.4.254 255.255.255.0 --配置接口IP
[r2]ip route-static 192.168.1.0 255.255.255.0 10.1.12.2 ---配置静态路由
[r2]ip route-static 192.168.2.0 255.255.255.0 10.1.12.2 ---配置静态路由
[r2]acl 2000 ---创建基本ACL 2000
[r2-acl-basic-2000]rule 5 deny source 192.168.1.0 0.0.0.255 ----deny源192.168.1.0
[r2-acl-basic-2000]rule 10 permit ----其他默认permit
[r2-GigabitEthernet0/0/2]traffic-filter outbound acl 2000 ---在接口的出方向调用acl 2000

在R1上ping测试: 

 

 

 

 

sunboy_guo
关注
  • 89
    点赞
  • 708
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
周五计网小组实验15+张楷+19035331——ACL网络访问控制1
08-08
1. 理解基本和扩展访问控制列表(Access Control List,ACL)的应用场景。 2. 掌握标准访问控制列表的配置方法。 3. 掌握扩展访问控制列表的配置方法。 4. 掌握基于名称的访问列表的配置方法。 实验环境: 实验在一...
路由与交换——ACL访问控制列表
weixin_43801543的博客
12-16 1399
ACL访问控制列表及其配置命令
ACL--访问控制列表
Lee_feiyue的博客
04-12 1455
      之前我们学习的静态路由和动态路由部分,都是网络中最基础的部分,需要我们熟练掌握,并能应用到实际中!今天我们来学习一个抓取流量的工具--ACL访问控制列表)!      ACL访问控制列表--Access Control List)是一种路由器配置和控制网络访问的一种有力的工具。适用于所有的路由协议。一、作用    1、控制路由器应该允许或拒绝数据包通过    2、监控流量    3...
访问控制列表ACL-如何禁止员工工作期间玩网络游戏却不影响正常网络应用?_禁止员工下载游戏怎么通过acl限制(1)
最新发布
2401_84297265的博客
05-04 774
2.2配置遵循的条件ACL 指令需要应用于入站数据流或者应用于出站数据流。入站 ACL 是指对到来的分组进行处理后在路由到主站接口,效率高。出站 ACL 是指将分组路由到出站接口,然后根据 ACL 对其进行处理。一般配置不会这样,会增加路由器的工作量。特殊情况下需要计算机进行内网访问服务器。ACL 的运行顺序一般是从上到下,每次一条语句。当外来的信息进入路由器接口时,在 ACL 中会对于相应的条件进行指令设置, 指令满足进行立即执行,指令不满足自动跳转到下一行指令。
访问控制列表ACL
oldyan
08-16 6460
ACL 简单介绍及使用实战
ACL--访问控制列表概述、组成、分类、应用
weixin_65685029的博客
01-26 1682
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。通过ACL来对报文进行过滤,可以根据业务需求来对这些报文进行允许或阻止的策略。ACL概述、ACL的组成、ACL分类、基于标准ACL和基础的高级ACL应用、基于端口的ACL
ACL访问控制列表
陌上花开,静待绽放!
03-22 7978
访问控制列表ACL(Access Control List)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
ACL访问控制列表
qq_47175413的博客
06-03 4707
r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)基础的ACL——只匹配源,表号范围2000-2999。抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。访问控制—— 配置一张ACL列表列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
ACL访问控制列表(详细配置教程)
热门推荐
亦在春风的博客
07-14 2万+
访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。 这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。1~99 和 1300~1999:标准IP ACL。(基于源P地址过滤) 100~199 和 2000~2699:扩展IP ACL。 (基于源、目的IP地址;源、目的TCP/UDP端口;协议类型) AppleTalk: 600~699 IPX:800~899基于每种协议设置一个ACL(per p
ACL访问控制列表
A1100886的博客
03-21 1087
ACL,是Access Control List的简写,中文名称叫做“访问控制列表”。它是由一系列条件规则(即描述报文匹配条件的判断语句)组成, 这些条件规则可以是报文的源地址、目的地址、端口号等,是一种应用在网络设备各种软硬接口上的的指令列表。读取第三层,第四层包头信息,根据预先定义好的规则对包进行过滤。通信四元素:源IP地址 目的IP地址 源端口 目的端口通信五元素: 源IP地址 目的IP地址 源端口 目的端口 协议。
访问 控制列表
weixin_44551911的博客
10-28 1303
访问控制列表ACL:Access Control List)是一种常用的网络技术,基本功能是对网络设备报文进行过滤处理。ACL是由permit和deny语句组成的一个有序规则的集合,首先通过报文匹配过程来实现对报文的分类识别,然后根据报文分类信息和相关的执行动作来判断哪些报文可以放行,哪些报文不能放行,从而实现对特定报文的过滤处理。ACL还有一些其它功能,这些功能常常被Route-policy、QoS(Quality of Service)、IPSec(IP Security)、Firewall等技术结合
计算机网络-ACL访问控制列表
Linux基础知识、计算机网络基础学习分享。
01-16 1181
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。ACL规则包含规则编号,规则处理动作,匹配项,如果没有指定规则编号则有缺省规则编号和步长。permit指“允许”,deny指“拒绝”,但是ACL一般是结合其他技术使用,不同的场景,处理动作的含义也有所不同。配置ACL的设备接收报文后,会将该报文与ACL中的规则逐条进行匹配,如果不能匹配上,就会继续尝试去匹配下一条规则。
Firewalking——如何探测访问控制规则
03-01
访问控制列表。一组强制实施的安全策略。在本文中的访问控制列表专用于网络策略。 路由器/网关 指设置转发IP数据流的多网络接口主机。可能有或可能没有数据包过滤ACL来阻止某些网络通信。 入站通信 用于描述...
CA集中身份与访问控制 .pdf
03-30
2. **细粒度的访问控制策略**:通过定义详细的访问控制列表(ACL)来实现对敏感数据和关键系统的保护。 3. **自动化审计与报告**:利用自动化工具收集并分析用户的活动日志,及时发现潜在的安全威胁。 4. **合规性支持...
Cisco路由实验[神码]__实验36 标准访问控制列表的配置
12-04
### Cisco路由实验——标准访问控制列表的配置 #### 实验目的与作用 本实验旨在让参与者深入了解并掌握标准访问控制列表(Access Control List,ACL)的配置方法,从而提升网络安全性。通过实验,参与者能够: 1....
ACL基本原理
05-23 610
访问控制列表(ACL)是应用在路由器接口的指令列表(即规则)。这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝。 访问控制列表(ACL)的工作原理 ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。 ACl是一组规则的集合,它应用...
IT知识百科:什么是访问控制列表ACL
网络技术联盟站
03-30 3273
ACL是一种常用的访问控制技术,可以在路由器、交换机、防火墙等网络设备中使用。ACL可以根据管理员的配置,控制网络中流入和流出的数据,提高网络的安全性。ACL具有灵活性强、安全性高、实现简单等优点,但是也存在配置复杂、性能影响、不可扩展等缺点。在使用ACL时,管理员需要根据网络的实际情况,综合考虑其优缺点,选择合适的ACL类型和配置方式,以确保网络的安全性和性能。
ACL访问控制列表
superman66697的博客
09-12 629
ACL,也称为访问控制列表,是一种网络安全工具,用于在网络设备上对数据流进行匹配和筛选。它可以控制数据包的流向,允许或拒绝数据包通过网络接口,以实现网络安全和资源管理。基于 ACL 的包过滤是一种网络安全措施,它对每个进出网络接口的数据包逐个进行检查,并根据ACL规则决定是否允许或丢弃数据包。这些规则必须配置在特定接口的某个方向上才能生效,每个接口的一个方向只能配置一个包过滤策略。
consul acl
09-02
Consul ACL(Access Control List)是Consul中用于配置和管理访问控制的功能。引用中提到了配置ACL的步骤,包括在各节点启动时启用ACL,并在配置文件夹目录中添加acl.hcl文件。这个文件包含了ACL的配置信息,如启用ACL、默认策略、令牌持久化等。通过重新启动节点,ACL的配置就会生效。 引用中提到了根据规则文件生成策略的步骤。在Consul中,可以通过创建策略来定义ACL的规则。可以使用命令行工具consul acl policy create来创建策略,并指定策略的名称、规则文件和对应的权限令牌。这样就可以为不同的访问需求创建不同的策略。 另外,引用提到了AWS SSM参数引导和管理Consul ACL的实用程序。这个工具可以让您安全地从AWS SSM中存储ACL定义和令牌ID,并简化在多环境场景中引导ACL的过程。 所以,Consul ACL是用于配置和管理Consul中访问控制的功能,它可以通过配置文件和命令行工具来实现。同时,AWS SSM参数也提供了方便的管理工具来简化ACL的引导和管理过程。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [consul--基础--06--ACL](https://blog.csdn.net/zhou920786312/article/details/127738110)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [consulssm:通过AWS SSM参数引导和管理Consul ACL](https://download.csdn.net/download/weixin_42162171/18299398)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值