企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。
访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。
访问控制列表是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目标地址、源端口、目的端口等信息来描述ACL规则通过匹配报文的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝。
按照访问控制列表的用途,可以分为:
① 基本的访问控制列表(2000-2999)
② 高级的访问控制列表(3000-3999)
③ 二层访问控制列表(4000-4999)
(1)基本访问控制列表:
基本ACL可使用报文的源IP地址、时间段信息来定义规则,编号范围为2000-2999。一个ACL可以有多条“Permit/Deny”语句组成,每一条语句描述一条规则,每条规则有一个Rule-ID。Rule-ID可以有用户进行配置,也可以由系统自动根据步长生成,默认步长是5,Rule-ID默认按照配置先后顺序分配0、5、10、15等,匹配顺序按照ACL的Rule-ID的顺序,从小到大进行匹配。
① 步长:
华为设备默认步长为5,使用命令[Huawei-acl-basic-2000]step 10进行定义步长。
② Permit/Deny:
华为设备使用Acl进行流量匹配,匹配的动作分为Permit和Deny:
Ø Permit:匹配该流量
Ø Deny:不匹配此流量
③ 反掩码:
Acl使用反掩码来严格匹配网络位数:
Ø 0表示严格匹配
Ø 1表示不匹配
④ time range:
Acl可以基于时间段进行生效或失效,使用time range进行配置有效时间段(使用正确的系统时间):
在配置Acl时进行绑定:
[Huawei-acl-basic-2000]rule 5 permit source 192.168.1.1 0 time-range telent
(2)高级访问控制列表:
基本访问控制列表只能用于匹配源IP地址,而在实际应用中往往需要针对数据包的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL局限性无法实现更多的功能,所以就需要使用高级的访问控制列表。
高级的访问控制列表在匹配项上做了扩展,编号范围为3000-3999,即可使用报文的源IP地址,也可以使用目的地址、IP优先级、IP协议类型、源端口号和目的端口号进行匹配。
配置命令:
[R1]acl 3000
[R1-acl-adv-3000]rule 5 permit tcp destination 192.168.1.0 0 destination-port eq 23 source 192.168.2.0 0.0.0.255
扫我入群