一、什么是ACL
access control list--访问控制列表
是应用在路由器接口的指令列表(即规则)
二、工作原理
逐层过滤
一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。ACL最后有一个看不见的,允许所有的 ACL 条目(思科默认是拒绝)
数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。这里要注意,ACL不能对本路由器产生的数据包进行控制。
如果设备使用了TCAM,比如aute U3052交换机,那么所有的ACL是并行执行的。举例来说,如果一个端口设定了多条ACL规则,并不是逐条匹配,而是一次执行所有ACL语句
三、ACL的分类
思科:标准ACL -扩展ACL
华为:基本ACL -高级ACL
高级ACL调用在距离源特别近的地方;
基本ACL调用在距离目标特别近的地方;
ACL类型:
1).基本ACL : 2000 ~ 2999
2).高级ACL : 3000 ~ 3999
以上两种都是三层acl,检查的是ip地址 其中基本ACL只能基于ip报文的源ip地址、报文分片标记和时间段信息来定义规则;
rule [rule-id] {deny /peermit} [source{source-address source-wildcard /any}] /fragment/logging /time-range time-name]
rule:表示这是一条规则
rule-id:表示这条规则的编号
deny/permit:这是一个二选一的选项,表示与这条规则相关联的处理动作,deny表示“拒绝” permit 表示“允许”
source:表示源ip地址信息
source-address:表示具体的源ip地址
source-wildcard:表示与source-address相对应的通配符。两个结合使用,可以确定出一个ip地址的集合。极端情况下,该集合中可以只包含一个ip地址
any:表示源ip地址可以是任何地址
fragment:表示该规则只对非首片分片报文有效
logging:表示需要将匹配上该规则的ip报文进行日志记录
time-range time-name:表示该规则的生效时间段为time-name
高级ACL可以根据ip报文的源ip地址、ip报文的目的ip地址、ip报文的协议字段的值、ip报文的优先级的值、ip报文的长度值、TCP报文的源端口号、TCP报文的目的端口号、UDP报文的源端口号、UDP报文的目的端口号等信息来定义规则。
针对所有ip报文的一种简化了的配置命令的格式如下:
rule[rule-id] {deny/permit} ip [destination {destination-address destination-wildcatd / any }] [source {source-address source-wildcard /any} ]
3).L2ACL:4000-4999 检查的是mac地址
4).用户自定义ACL
后两者不常用
ACL一般是与NAT配合使用,在华为上ACL步长是5,思科是10
注意:
1.单独做acl默认是允许所有
2.和NAT结合默认是拒绝所有
3.在虚拟端口(vty)上默认是拒绝所有
四、通配符(wildcard)
通配符与反掩码相同的是都是只关注0对应的位
当我们使用一个 ACL 条目同时匹配多个地址的时候,
我们需要做:
1. 确定多个地址的“公共部分”
# 相同的位,直接写;
# 不同的位,变成0;
192.168.1.1
2. 确定与“公共部分”所对应的“通配符”
-通配符与公共IP地址,是一一对应的;
#在通配符中,与公共IP地址中不变的位对应的位置,
写0;
#在通配符中,与公共IP地址中变的位对应的位置,
写1; PS:对于所有路由协议而言,装载路由的方式有两种
1.network--->针对直连路由,可以收发包
2.import-route-->可以针对所有类型的路由,更灵活,但只能引用路由,端口不可收发包,因此我们在路由器这种直连链路只能用network。 import又称路由导入/路由重分发/路由重发布/redistribute(非华为叫法)
转载于:https://blog.51cto.com/13721786/2116322
扫一扫
1239
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
