ACL
访问控制列表
访问控制列表 ACL
定义
用于数据流的匹配何筛选手段
常见功能
访问控制
ACL+Packet-filte (包过滤)
路由控制
ACL+Router-policy
流量控制
ACL+QOS
基于ACL的包过滤
定义
对进出的数据包逐包进行检查,丢弃或允许通过。
包过滤必须配置在接口的某个方向上才能生效
一个接口的一个方向只能配置一个包过滤策略
配置好ACL还没用,必须调用在某个接口的某个方向上
包过滤方向
包过滤工作流程
- 数据包到达接口检查是否应用了AC,是则进入匹配,否则放行
- 按照ACL编号匹配第一条规则,匹配则进一步检查该条规则动作,否则与下一条规则进行匹配,允许则放行。不允许则拒绝
- 继续进行匹配,如匹配则检查规则动作,否则与下一跳进行匹配
… - 所有规则都不匹配,检查默认动作,允许则放行,不允许则丢弃。
注意事项
- 如果默认动作是允许,至少需要一条拒绝规则
- 如果默认动作是拒绝,至少需要一条允许规则
- H3C的ACL用于包过滤默认允许,用于其他默认拒绝
- 把小范围的规则分配一个靠前的顺序
- 在不影响实际效果前提下,把包过滤尽量配置在离源地址最近的接口的入方向
访问控制列表 ACL
ACL分类
基本ACL
只对数据包的源地址进行匹配
编号2000-2999
高级ACL
对数据包的五元组进行匹配(源IP,目的IP,源端口,目的端口,协议)
编号3000-3999
接口调用
接口下 packet-filter 2000 outbound
创建基本acl
acl basic 2000
rule deny source 192.168.1.0 0.0.0.255
拒绝源地址为192.168.1.任意 网段的地址
创建高级acl
acl advanced 3000
rule deny(动作) tcp (协议)source(源IP) 192.168.1.1 0.0.0.0 destination(目的IP) 192.168.3.1 0
destination-port(目的端口) range 20 21
进入接口
packet-filter 3000 outbound