ACL的知识点和实验

小豌豆-努力版

已于 2024-05-06 11:10:17 修改

阅读量988

点赞数 22

文章标签：网络

于 2024-04-23 11:37:24 首次发布

本文链接：https://blog.csdn.net/weixin_52654869/article/details/138107126

版权

1.ACL的组成

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。

2.规则编号

（1）一个ACL中的每一条规则都有一个相应的编号。

（2）步长是系统自动为ACL规则分配编号时，每个相邻规则编号之间的差值，缺省值为5。步长的作用是为了方便后续在旧规则之间，插入新的规则。

（3）系统为ACL中首条未手工指定编号的规则分配编号时，使用步长值（例如步长=5，首条规则编号为5）作为该规则的起始编号；为后续规则分配编号时，则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。

3.通配符

（1）通配符是一个32比特长度的数值，用于指示IP地址中，哪些比特位需要严格匹配，哪些比特位无需匹配。

（2）通配符通常采用类似网络掩码的点分十进制形式表示，但是含义却与网络掩码完全不同。

（3）“0”表示“匹配”；“1”表示“随机分配”

例子：如果想匹配192.168.1.0/24网段中的奇数IP地址，通配符该怎么写呢？

（1）我们先来看一看，奇数IP地址都有哪些：192.168.1.1、192.168.1.5、192.168.1.11……

（2）后八位写成二进制：192.168.1.00000001、192.168.1.00000101、192.168.1.00001011……

（3）可以看出共同点：最后8位的高7位是任意值，最低位固定为1，因此答案是：192.168.1.1 0.0.0.254（0.0.0.11111110）

这就得出了通配符的一个特点：通配符中的1或者0是可以不连续的

4.ACL的匹配机制

5.入站和出站方向

6.通配符和反掩码的区别

192.168.1.1/24 的网络号和广播地址是？
   网络号：（本质就是主机位全部是0）192.168.1.0/24
   广播地址：（本质就是主机位全部是1）192.168.1.255/24
192.168.1.0-192.168.1.255
匹配192.168.1.0/24所有IP（不用管是否可用）？
通配符：
      1、不能变化，不能修改，必须一模一样的，用通配符中的0表示；
      2、可以变化，用用通配符中的1表示；
匹配192.168.1.0/24所有IP（不用管是否可用）？本质：1、192.168.1这部分不能变！2、代表第四字节8bit可以随机组合！
192.168.1.0 变成二进制？则为：1100 0000.1010 1000.0000 00001.0000 0000
1100 0000.1010 1000.0000 00001.0000 0000 --->192.168.1.0
0000 0000.0000 0000.0000 00000.1111 1111---->0.0.0.255
（拓展）OSPF配置中宣告网段：
ospf 1
area 0
network 192.168.1.0 0.0.0.255 叫什么？跟今天的通配符有何区别？
反掩码，原先是0变1，1变0，192.168.1.0/24 /24十进制：255.255.255.0 其反掩码就是0.0.0.255
通配符匹配地址反掩码应该连续为0或连续为1 ，举例：
192.168.1.0/24 反掩码：0.0.0.255 通配符：0.0.0.255
反掩码是由｛正｝掩码推算而来，掩码必须是连续！255.255.255.0 255.128.1.0（掩码）255.255.255.128
    反掩码特点：分成两部分，要么是连续的0或者连续的1；
通配符：没有连续性的要求！

7.奇数偶数匹配

请使用ACL把10.1.1.0/24中的奇数IP地址和偶数IP地址匹配出来？（请写出ACL匹配）
   奇+奇=偶      偶+偶=偶     奇数+偶数=奇数
10.1.1.0/24 10.1.1.0-10.1.1.255/24
10.1.1.0--->换成二进制：0000 1010.0000 0001.0000 0001.0000 0000
当第4个字节最右边的bit固定为0的时候，其他7bit有哪些组合？
0000 1010.0000 0001.0000 0001.0000 0000 那么存在以下的组合：
0000 1010.0000 0001.0000 0001.0000 0010     10.1.1.2
0000 1010.0000 0001.0000 0001.1000 0000      10.1.1.128
0000 1010.0000 0001.0000 0001.0110 0000      10.1.1.96
0000 1010.0000 0001.0000 0001.1111 1110       10.1.1.254
不管哪一种组合，这个字节的和一定是偶数！
结论：只有最右边最后bit存在奇数可能（1），所以是奇数还是偶数取决于最后bit;
0000 1010.0000 0001.0000 0001.0000 0000 通配符除了红色部分不能变之外，其他7bit任意、
0000 0000.0000 0000.0000 0000.1111 1110--->0.0.0.254
匹配偶数那么就是 10.1.1.0 0.0.0.254
匹配奇数那么就是 10.1.1.1 0.0.0.254
如果没法理解，先记住结论：
匹配奇数，确定最后一个bit为奇数，且通配符是0.254就可以；
匹配偶数，确定最后一个bit为偶数，且通配符是0.254就可以；

8.案例：使用高级ACL限制不同网段的用户互访

配置需求：

某公司通过Router实现各部门之间的互连。为方便管理网络，管理员为公司的研发部和市场部规划了两个网段的IP地址。

现要求Router能够限制两个网段之间互访，防止公司机密泄露。

首先正常情况下没有进行acl策略配置的时候两个部门之间是可以互相ping通的

进行配置ACL策略：由于研发部和市场部互访的流量分别从接口GE0/0/1和GE0/0/2进入Router，所以在接口GE0/0/1和GE0/0/2的入方向配置流量过滤。

#AR1上的配置：

[czyAR1]acl 3001
[czyAR1-acl-adv-3001]rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0
0.0.0.255
[czyAR1]acl 3002
[czyAR1-acl-adv-3002]rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.1
0 0.0.0.255

[czyAR1]inter g0/0/1
[czyAR1-GigabitEthernet0/0/1]traffic-filter inbound acl 3001
[czyAR1-GigabitEthernet0/0/1]inter g0/0/2
[czyAR1-GigabitEthernet0/0/2]traffic-filter inbound acl 3002

再次测试可以发现两个部门之间已经不能ping通了实现了流量的过滤拦截

总结：

一般情况下，ACL匹配顺序是按序号从上到下(序号小的先匹配，大的后面匹配)，书写顺序无关，一旦匹配则停止后而序号规则匹配。
拓展:请问部署基本AcL和高级AcL时候，选择接口有何讲究?inbound/outbound?
基木ACL 尽量用在靠近目的端
高级AC 尽量用在靠近源端的地方(可以保护带宽和其他资源)