ACL———访问控制列表

目录

一、ACL简介

二、ACL的作用

三、访问控制列表的调用方向

四、访问控制列表的处理原则

 五、访问控制列表类型

        1、标准访问控制列表

        2、扩展访问控制列表

验证两种类型

 总结

---

一、ACL简介

        ACL——访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。ACL既可以在路由器上配置，也可以在具有ACL功能的业务软件上进行配置。ACL是物联网中保障系统安全性的重要技术，在设备硬件层安全基础上，通过对在软件层面对设备间通信进行访问控制，使用可编程方法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。（搜狗百科）

二、ACL的作用

        读取三层、四层头部信息，根据预先定义好的规则，对流量进行筛选、过滤

三层头部信息：源、目标IP

四层头部信息：源、目端口号，TCP/UDP协议

1、ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。

2、ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

3、ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。

4、ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

三、访问控制列表的调用方向

        入：流量将要进入本地路由器，将被本地路由器处理

        出：已经被本地路由器处理过了，流量将离开本地路由器

策略做好后，在入接口调用和出接口调用的区别

        入接口是对本地路由器生效

        出接口对本地路由器不生效，流量将在数据转发过程中的下一台路由器生效

四、访问控制列表的处理原则

        1、路由条目只会匹配一次

        2、路由条目在ACL访问列表中匹配顺序是从上往下匹配的

        3、ACL访问控制列表隐含一个拒绝所有

        4、ACL访问控制列表至少要放行一条路由条目

 五、访问控制列表类型

        1、标准访问控制列表

                        只能基于源IP地址进行过滤

                        标准访问控制列表号是2000-2999

                        调用原则：靠近目标

        2、扩展访问控制列表

                        可以根据源IP、目标IP，TCP/UDP协议，源、目端口号进行过滤

                        相比较标准访问控制列表，流量控制的更加进准

                        调用原则：靠近源

                        扩展访问控制列表号是3000-3999

验证两种类型

1、实现标准访问控制列表

L2-SW1 交换机命令

	
<Huawei>undo terminal monitor 
Info: Current terminal monitor is off.
<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname L2-SW1
[L2-SW1]user-interface console 0
[L2-SW1-ui-console0]idle-timeout 0 0
[L2-SW1-ui-console0]q
[L2-SW1]vlan bat 10 20
Info: This operation may take a few seconds. Please wait for a moment...done.
[L2-SW1]int e0/0/1
[L2-SW1-Ethernet0/0/1]port link-type access 
[L2-SW1-Ethernet0/0/1]port default vlan 10
[L2-SW1-Ethernet0/0/2]port link-type access 
[L2-SW1-Ethernet0/0/2]port default vlan 20
[L2-SW1-Ethernet0/0/2]int e0/0/3
[L2-SW1-Ethernet0/0/3]port link-type access 
[L2-SW1-Ethernet0/0/3]port default vlan 10
[L2-SW1-Ethernet0/0/3]int e0/0/4
[L2-SW1-Ethernet0/0/4]port link-type access 	
[L2-SW1-Ethernet0/0/4]port default vlan 20
[L2-SW1-Ethernet0/0/4]int g0/0/1
[L2-SW1-GigabitEthernet0/0/1]port link-type trunk 	
[L2-SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[L2-SW1-GigabitEthernet0/0/1]q

 AR路由器上单臂路由

<Huawei>undo terminal monitor 
Info: Current terminal monitor is off.	
<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1	
[R1]user-interface console 0	
[R1-ui-console0]idle-timeout 0 0
[R1-ui-console0]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]undo shut
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R1-GigabitEthernet0/0/0]int g0/0/0.1	
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 10//封装方式为802.1q，g0/0/0.1划分进vlan10
[R1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24	
[R1-GigabitEthernet0/0/0.1]arp broadcast enable //开启arp广播功能
[R1-GigabitEthernet0/0/0.1]int g0/0/0.2
[R1-GigabitEthernet0/0/0.2]dot1q termination vid 20/封装方式为802.1q，g0/0/0.2划分进vlan20
[R1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24
[R1-GigabitEthernet0/0/0.2]arp broadcast enable //开启arp广播功能
[R1-GigabitEthernet0/0/0.2]q
[R1]acl 2000
[R1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255//拒绝192.168.10.0网段，子网掩码为反掩码
[R1-acl-basic-2000]rule permit source any //放行其他路由条目
[R1-acl-basic-2000]int g0/0/0.2	//进入g0/0/0.2接口
[R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000//选择在出接口调用列表2000
[R1-GigabitEthernet0/0/0.2]q

此时客户机ping vlan 20下的网段是不通的 

 2、实现扩展访问控制列表

        

交换机不变

R1在原来命令上添加

[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 10.10.10.1 24
[R1-GigabitEthernet0/0/1]undo shut
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R1-GigabitEthernet0/0/1]q
[R1]ip route-static 0.0.0.0 0 10.10.10.2
[R1]acl number 3000//创建扩展控制列表，列表号为3000
[R1-acl-adv-3000]rule deny tcp source 192.168.10.10 0 destination 202.10.100.100
 0 destination-port eq 21//禁止pc1访问FTP服务
[R1-acl-adv-3000]rule permit tcp destination-port eq 21	//放行其他客户机访问FTP服务
[R1-acl-adv-3000]rule permit ip source any destination any//放行其他客户机流量
[R1-acl-adv-3000]int g0/0/0.1	
[R1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000//选择在进如接口调用列表3000
[R1-GigabitEthernet0/0/0.1]q

R2

<Huawei>undo terminal monitor 
Info: Current terminal monitor is off.
<Huawei>system-view 	
[Huawei]sysname R2
[R2]user-interface console 0
[R2-ui-console0]idle-timeout 0 0
[R2-ui-console0]q
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 10.10.10.2 24
[R2-GigabitEthernet0/0/0]undo shut
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 202.10.100.2 24
[R2-GigabitEthernet0/0/1]undo shut
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R2-GigabitEthernet0/0/1]q
[R2]ip route-static 0.0.0.0 0 10.10.10.1

测试，客户端1是访问不了FTP服务器的

 而其他客户机依然可以登录

 总结

        网络中的节点有资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。