什么是ACL?

 什么是ACL?

• 访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。
• ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

ACL的基本原理
ACL由一系列规则组成，通过将报文与ACL规则进行匹配，设备可以过滤出特定的报文。当数据包从接口经过时，由于接口启用了ACL，此时路由器会对报文进行检查，然后做出相应的处理。
为什么需要ACL？
根据规则过滤的ACL，能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等的功能，从而提高网络环境的安全性和网络传输的可靠性。

ACL是怎么工作的？
ACL工作主要是根据规则进行，ACL规则里包括他的规则编号（顺序），动作（允许或者拒绝）规则匹配的地址段（源/源-目的）生效时间段。

ACL分类
基于ACL规则定义方式的划分，可分为：
基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL。

• 基本ACL:基于源IP地址进行过滤。
• 高级ACL：除了基于源和目的IP地址外，还可以基于协议类型、端口号等更复杂的条件过滤。

基于ACL标识方法的划分，则可分为：
数字型ACL和命名型ACL。

ACL 两种作用：
① 用来对数据包做访问控制
② 结合其他协议用来匹配范围
② 基本ACL：basic acl

ACL的匹配位置

ACL在接口上的应用：
在入口上：数据包从入口进路由器，就会被路由器处理。
在出口上：数据包在经过路由器处理后，才会让它从出口出去。
ACL的应用原则：
基本ACL，尽量用在靠近目的点。
高级ACL，尽量用在靠近源的地方
应用规则

1、一个接口的同一个方向，只能调用一个ACL
2、一个ACI里面可以有多个rule规则，按照规则ID从小到大排序，从上往下依次执行
3、数据包一旦被某rule匹配，就不再继续向下匹配
4、用来做数据包访问控制时，默认隐含放过所有(华为设备)
 

基本ACL配置
1.PC1不能ping通Server1
2.PC2可以ping通Server1
3.PC1可以ping通 PC2

R1配置
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.100.254 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[R1]acl 2000
[R1-acl-basic-2000]rule 5 deny source 192.168.1.1 0.0.0.0 //抓取这个IP流量并拒绝它
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 //相对于PC1来说在出接口上调用
 

验证配置效果
1.PC1不能ping通Server1
2.PC2可以ping通Server1
3.PC1可以ping通 PC2

配置举例
 IP标准ACL配置举例
1.    组网需求
通过配置IP标准ACL，禁止财务部以外的部门访问财务数据服务器。

2.    组网图

3.    配置要点
l  Device A配置IP标准ACL并添加访问规则。

l  Device A将IP标准ACL应用在连接财务数据服务器接口的出方向上。

4.    配置步骤
(1)   配置IP标准ACL并添加访问规则。

# Device A配置IP标准ACL并添加访问规则。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# ip access-list standard 1
DeviceA(config-std-nacl)# permit 10.1.1.0 0.0.0.255
DeviceA(config-std-nacl)# deny 11.1.1.1 0.0.0.255
DeviceA(config-std-nacl)# exit
 

(2)   将IP标准ACL应用到接口上。
# Device A将ACL应用在连接财务数据服务器接口的出方向上。
DeviceA(config)# interface gigabitethernet 0/3
DeviceA(config-if-GigabitEthernet 0/3)# ip access-group 1 out
 

5.    验证配置结果
# 检查Device A设备ACL配置命令是否正确。
DeviceA# show access-lists

ip access-list standard 1
10 permit 10.1.1.0 0.0.0.255
20 deny 11.1.1.0 0.0.0.255

DeviceA# show access-group
ip access-group 1 out
Applied On interface GigabitEthernet 0/3
 

# 从开发部的某台PC机上ping财务数据服务器，确认ping不通。
# 从财务部的某台PC机上ping财务数据服务器，确认能ping通。
 

6.    配置文件
l  DeviceA的配置文件

hostname DeviceA

ip access-list standard 1
10 permit 10.1.1.0 0.0.0.255
20 deny 11.1.1.0 0.0.0.255

interface GigabitEthernet 0/1
no switchport
ip address 10.1.1.1 255.255.255.0

interface GigabitEthernet 0/2
no switchport
ip address 11.1.1.1 255.255.255.0

interface GigabitEthernet 0/3
no switchport
ip access-group 1 out
ip address 12.1.1.1 255.255.255.0

完成

综合实验-EVE-NG

1. 某车企内网使用的ACL

1. 某车企内网使用的ACL

FTP-Server

3.验证
VPC1 ping 通 VPC2
VPC1 ping 通 VPC3
VPC1 ping 通 FTP-Server
VPC2 ping通 VPC3
VPC2 ping通 FTP-Server
VPC3 ping通 FTP-Server

4..使用ACL进行内网安全控制配

• 允许设计中心设备访问汽车工程研究院FTP服务器
• 禁止其它设备访问汽车工程研究院FTP服务器

网络ACL配置流程

1. 参考创建网络ACL创建网络ACL。
2. 参考添加网络ACL规则添加网络ACL规则。
3. 参考将子网络关联至网络ACL将子网与网络ACL关联。子网络关联后，网络ACL将自动开启并生成。

配置ACL规则时：

• 如果指定的rule-id已存在，且新规则与原规则存在冲突，则冲突的部分新规则代替原规则，相当编辑一个已经存在的ACL的规则。
• 不同的ACL匹配顺序，可能会造成不同的报文匹配结果。
• 很多没有配置ACL规则的业务也会占用ACL资源，可以通过执行命令display system tcam service brief 查看业务占用ACL资源的情况。

删除ACL规则时：规则即使被引用，使用undo rule 命令行也可以删除该规则。请谨慎操作，在删除前使用display cyrrent-configyration l include acl 判断该规则是否已经被引用。若在引用中被删除会导致该规则失效。

目的
随着网络的飞速发展，网络安全和网络服务质量QoS（Quality of Service）问题日益突出。

• 企业重要服务器资源被随意访问，企业机密信息容易泄露，造成安全隐患。
• Internet病毒肆意侵略企业内网，内网环境的安全性堪忧。
• 网络带宽被各类业务随意挤占，服务质量要求最高的语音、视频业务的带宽得不到保障，造成用户体验差。

以上种种问题，都对正常的网络通信造成了很大的影响。因此，提高网络安全性服务质量迫在眉睫。ACL就在这种情况下应运而生了。通过ACL可以实现对网络中报文流的精确识别和控制，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

ACL是Cisco IOS 软件中最常用的功能之一，其应用非常广泛，可以实现如下典型的功能：
①限制网络流量以提高网络性能。
②提供基本的网络访问安全。
③控制路由更新的内容。
④在QoS实施中对数据包进行分类。
⑤定义IPSec VPN的感兴趣流量。
⑥定义策略路由的匹配策略。

图1-1 ACL典型应用场景：

• 某企业为保证财务数据安全，禁止研发部门访问财务服务器，但总裁办公室不受限制。实现方式：在Interface 1的入方向上部署ACL，禁止研发部门访问财务服务器的报文通过。Interface 2上无需部署ACL，总裁办公室访问财务服务器的报文默认允许通过。
• 保护企业内网环境安全，防止Internet病毒入侵。实现方式：在Interface 3的入方向上部署ACL，将病毒经常使用的端口予以封堵。

特点：

1. 灵活性：ACL支持多种匹配条件，可以根据需要设置各种过滤规则。
2. 细粒度控制：ACL可以基于源IP地址、协议类型、端口等多个因素进行流量控制。
3. 有效性：ACL能够提供有效的流量过滤和访问控制、保护网络安全和资源利用率。
4. 可扩展性：ACL可以在网络设备的多个接口上配置，并支持不同的方向。
5. 简单部署：ACL配置相对简单，易于实现和管理。

在进行ACL实验过程中，我通过学习和探索，对自然语言处理领域的基础概念、方法和技术有了更多的理解。掌握ACL的基本配置方法，并了解其在网络安全中的重要作用。通过实践操作，加深对ACL的理解，为今后在网络管理和安全中的应用打下基础。