访问控制列表ACL匹配机制,配置示例

最新推荐文章于 2024-09-05 07:00:00 发布
最新推荐文章于 2024-09-05 07:00:00 发布
阅读量1k 收藏 19
点赞数 5
文章标签: 网络 服务器 运维 AI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45498884/article/details/141615736
版权

访问控制列表(ACL)的匹配机制概括来说是:配置ACL的设备接收报文后,会将该报文与ACL中的规则逐条进行匹配。如果不能匹配上,就会继续尝试去匹配下一条规则。一旦匹配上,则设备会根据规则中的指定动作和应用ACL的各个业务模块来共同决定报文最终是被允许通过还是拒绝通过。不同的业务模块,对命中和未命中规则报文的处理方式也各不相同。

例如,在Telnet模块中应用ACL,只要报文命中了规则且ACL规则动作为permit,就允许通过;而在流策略中应用ACL,如果报文命中了规则且ACL规则动作为permit,但流行为动作配置的是deny,该报文仍会被拒绝通过。

ACL存在两种匹配顺序:配置顺序(config模式)和自动排序(auto模式)。缺省的ACL匹配顺序是config模式,即系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。

以下是一些ACL的配置示例:

  1. 使R1可以ping通R2,但R2不能ping通R1 :
    • 步骤1:测试在R1拼R2与在R2拼R1 。
    • 步骤2:在R1上写ACL并应用在接口,允许12.1.1.2到12.1.1.1返回的包。
    • 步骤3:验证R1拼R2与R2拼R1 。
  2. 使R1能TELNET进R2,而R2不能TELNET进R1 :
    • 步骤1:在R1与R2测试相互TELNET对方 。
    • 步骤2:在R1上写ACL并应用到接口,只允许12.1.1.2的23端口访问12.1.1.1大于1024的端口 。
    • 步骤3:验证R1与R2互相TELNET对方 。

总之,ACL的匹配机制和配置方式多样,需要根据具体的网络需求进行灵活应用。

ACL 在 Telnet 模块中的应用规则

在 Telnet 模块中应用 ACL 时,其规则具有严格的限制作用。如果 ACL 中存在规则但报文未匹配上,该报文会被拒绝通过。例如,为了保障远程维护网络设备的安全性,仅允许管理员(源地址是特定的)进行 Telnet 登录,其他人不允许登录。此时,仅需配置一条允许管理员地址通过的规则即可,其他地址的报文因匹配不上规则会被拒绝登录。

ACL 在流策略中的应用规则

在流策略中应用 ACL 时,其处理机制有所不同。如果 ACL 中存在规则但报文未匹配上,该报文仍可以正常通过。比如,在对某些网段的报文进行过滤时,拒绝特定主机地址的报文通过,允许其他地址的报文通过。或者反过来,允许特定主机地址的报文通过,拒绝其他地址的报文通过。

ACL 的配置顺序模式

配置顺序模式,即系统按照 ACL 规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。如果配置规则时指定了规则编号,则规则编号越小,规则插入位置越靠前,该规则越先被匹配。若未指定规则编号,系统会自动为其分配一个编号,该编号是一个大于当前 ACL 内最大规则编号且是步长整数倍的最小整数,因此该规则会被最后匹配。例如,先后配置了拒绝目的 IP 地址为较大网段的规则和允许目的 IP 地址为较小网段且包含在上述较大网段内的规则,由于匹配顺序的原因,对于特定目的 IP 的报文,可能会因先匹配到拒绝规则而被拒绝通过,反之则可能被允许通过。

ACL 自动排序模式

自动排序模式是指系统使用“深度优先”的原则,将规则按照精确度从高到低进行排序,并按照精确度从高到低的顺序进行报文匹配。规则中定义的匹配项限制越严格,规则的精确度就越高,即优先级越高,系统越先匹配。各类 ACL 的“深度优先”顺序匹配原则较为复杂,在自动排序的 ACL 中配置规则时,不允许自行指定规则编号,系统能自动识别出该规则在这条 ACL 中的优先级,并为其分配一个适当的规则编号。

ACL 配置实现特定网络访问的示例

以下是一些常见的 ACL 配置实现特定网络访问的示例:

  1. 限制特定 IP 访问网络:通过配置 ACL 规则,如“access-list 101 permit ip 192.168.1.0 0.0.0.255 any”和“access-list 101 deny ip any any”,实现只允许特定网段的 IP 访问网络,拒绝其他 IP 访问。
  2. 限制用户在特定时间访问特定服务器:例如某公司禁止研发部门和市场部门在上班时间访问工资查询服务器,配置时间段、高级 ACL 和基于 ACL 的流分类,以及相应的流行为和流策略,来实现基于时间和用户部门的访问限制。
  3. 配置特定时间段允许个别用户上网:如某公司要求在上班时间所有员工均可以上网,但周末时间仅允许各部门经理能够上网,其他用户不允许上网。通过配置时间段、基本 ACL 和基于 ACL 的流分类等,实现对不同用户在不同时间段的上网控制。

综上所述,访问控制列表(ACL)在网络管理和安全中起着重要作用。其匹配机制和配置方式的灵活运用,可以有效地实现对网络访问的精细控制,满足不同场景下的网络需求,保障网络的安全性和稳定性。无论是在 Telnet 模块、流策略中,还是在实现特定网络访问的配置中,都需要根据实际需求精心设计 ACL 规则,以达到预期的网络管理目标。

Uncle 城
关注
网络技术联盟站 | 网络安全之访问控制列表ACL详解和配置案例(全)
网络技术联盟站
09-27 1186
文章目录ACL 概述ACL的主要使用场景:ACL 的分类1.基本ACL2.高级ACLACL配置1.创建基本ACL2.创建高级ACLACL 配置实例(路由器)1.基本ACL配置示例2.高级ACL配置示例13.高级ACL配置示例2ACL 配置示例(交换机) ACL 概述 ACL(Access Control List,访问控制列表)是由一系列permit或deny语句组成的、有序的规则集合,它通过匹配报文的相关字段实现对报文的分类。 ACL本身只是一组规则,只能区分某一类报文,换句话说,ACL更像是一个工
ACL匹配顺序
cdo23112的博客
07-22 3480
由于一条ACL由多条规则组成,因此这些规则可能存在重复或矛盾等冲突地方,在将一个数据包和ACL的规则进行匹配的时候,到底采用哪些规则呢?此时判断的依据就是规则的匹配顺序,在创建ACL规则时指定的,有两种:配置顺序和自动排序。配置顺序顾名思义,是按照配置规则的先后顺序进行匹配;当创建ACL时如果不指定匹配顺序,则缺省是配置顺序。[FW1] ACL 3000 match-order config[FW...
ACL匹配机制
h450939070的博客
03-03 2597
小编提醒大家,无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定的。规则中定义的匹配项限制越严格,规则的精确度就越高,即优先级越高,那么该规则的编号就越小,系统越先匹配。例如,有一条规则的目的IP地址匹配项是一台主机地址2.2.2.2/32,而另一条规则的目的IP地址匹配项是一个网段2.2.2.0/24,前一条规则指定的地址范围更小,所以其精确度更高,系统会优先将报文与前一条规则进行匹配。插入新规则后,新的排序如下。
ACL匹配规则
热门推荐
Zuoriqiufeng的博客
08-21 1万+
ACL - 访问控制列表 前言 ACL: Access Control List, 访问控制列表 ACL是一种技术,不是一种协议 ACL就是第一代防火墙技术 ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。 本示例中,网关RTA允许192.168.1.0/24中的主机可以访问外网,也就是Internet;而192.168.2.0/24中的主机则被禁止访问Internet。对于服务器A而言,情况则相反。网关允许192.168.2.0/24中的主机访问
ACL-匹配规则
little_startoo的博客
04-07 1422
ACL-匹配规则
访问控制列表-ACL匹配规则
weixin_30412013的博客
10-22 7337
1、ACL匹配机制 首先,小编为大家介绍ACL匹配机制。上一期提到,ACL匹配报文时遵循“一旦命中即停止匹配”的原则。其实,这句话就是对ACL匹配机制的一个高度的概括。当然,ACL匹配过程中,还存在很多细节。比如,ACL不存在系统会怎么处理?ACL存在但规则不存在系统会怎么处理?为了对整个ACL匹配过程展开详细的介绍,小编画了一张ACL匹配流程图,相信对大家理解ACL匹配机制能有所帮助。 ...
ACL匹配规则及相关命令
咸鱼的梦想专栏
07-28 1万+
ACL匹配原则: (1)匹配顺序是自上而下匹配的 (2)一旦匹配匹配的动作就终止(经常匹配的写在前面,细化匹配的要写在前面) (3)ACL末隐含一条deny all (4)添加的ACL会加在现有ACL末端,但在deny all前面 (5)删除一条ACL规则会导致整个A...
访问控制列表ACL配置教程
10-01
访问控制列表(Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种功能,用于实现基于特定条件的网络流量控制。ACL通过检查数据包的特定属性,如源IP地址、目标IP地址、端口号等,决定数据包...
ensp配置acl高级配置访问控制列表
03-27
在“ensp配置acl高级配置访问控制列表”这一主题中,我们将深入探讨如何在ENSIM中进行ACL的高级配置。 首先,理解ACL的基本原理是至关重要的。ACL是一系列规则,基于IP地址、端口号、协议类型等因素来决定数据包...
访问控制列表ACL》PPT课件.ppt
12-07
在《访问控制列表ACL》PPT课件中,主要介绍了ACL的基本概念、类型、工作原理以及配置方法。 ACL的核心在于定义和应用规则来筛选数据包,这些规则基于源地址、目的地址、上层协议等属性。ACL有两种基本类型:标准...
访问控制列表ACL在校园网中的应用初探
11-12
(3)、配置各种类型的访问控制列表,比如基本访问控制列表,高级访问控制列表,基于接口的访问控制列表,基于以太网MAC地址的访问控制列表……并完成删除控制列表的操作。 (4)、完成时间段的控制访问列表配置,访问...
OSPF的工作过程和ACL匹配规则
weixin_71169037的博客
06-16 1155
OSPF的工作过程以及ACL匹配规则和一些基本需求
访问控制列表(ACL)配置
最新发布
可惜已不在
09-05 1591
公司中办公区和财务部可以访问外网,而办公区无法访问财务部,财务部不影响上网。
ACL详解
weixin_60917414的博客
03-22 3282
ACL详解,很详细
ACL原理与配置
J_JJD的博客
07-15 1875
登录控制telnet、ftp、http等报文转发进行过滤路由过滤(的匹配
ACL的原理与配置
2401_83878929的博客
06-17 904
ACL的实验配置
路由交换基础&ACL访问控制列表)(标准写法)✍
✍千里之行,始于足下 ^,^
12-13 3305
ACL访问控制列表 它的作用有两个: 1、访问控制-----在路由器上流量进或出的接口上规则流量; 2、定义感兴趣流量 —为其他的策略匹配流量 (在NAT中有具体的应用) ----------访问控制:将ACL列表定义好了之后,将列表在路由器的接口上进行调用,当流量从接口上通过时,进行匹配匹配成功后按照列表上设定好的动作进行处理。动作------允许(permit)、拒绝(deny)。 匹配的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值