前言
一.ACL简介:
ACL全称为Access Control List,即访问控制表,是一种用于控制网络资源访问的机制。ACL是一种基于策略的访问控制模型,可以控制到不同用户或者组织对于系统内不同资源的访问权限。ACL定义了一组规则,用于确定哪些用户或者组织可以访问哪些资源,并且可以设置不同的访问级别和权限。ACL可以被应用于各种应用场景,例如网络安全、文件共享、邮件服务等。
| 基于内容的ACL | 适用于控制文件和目录访问的权限 |
| 基于对象的ACL | 适用于控制网络对象的访问权限 |
ACL适用场景举例:
某公司为保证财务数据安全,进制研发部门访问财务服务器,但总裁办公室不受限制
二.ACL工作原理
访问控制列表:作用于路由器流量流入或流出的接口的列表,指定哪些数据/流量转发,哪些拒绝
- ACL是一个流量匹配工具,能够对数据进行区分
- ACL是一张由 permit 和 deny 语句组成的列表
- permit(允许):数据包过滤,允许那些流量通过
- deny (拒绝):数据包过滤,拒绝那些流量通过
ACL组成:
每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作
| 访问控制列表编号 | 用于识别ACL |
| 规则编号 | 用来标识ACL规则 所有规则均按照规则编号从小到大进行排序 |
| 动作 | permit:允许/deny:拒绝 |
| 匹配项 | ACL定义了极其丰富的匹配项。例子中体现的源地址,ACL还支持很多其他规则匹配项。 |
| 规则 | 每条语句就是一条规则 |
规则编号:
编号与编号之间以 5 为步长,便于后续规则插入
步长为编号与编号之间的差值
ACL分类和标识:
ACL匹配规则:
按照规则编号,自上而下逐一匹配,如果匹配上则,如果匹配上则执行该条规则,否则继续匹配下一条规则。
如何在规则10-15之间新增规则:只需写入一条规则编号为11规则即可
通配符:
通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特位需要严格匹配,哪些比特位无需匹配。
-
当进行IP地址匹配的时候,后面会跟着32位掩码位,这32位称为通配符。
-
通配符,也是点分十进制格式,换算成二进制后,0表示“匹配”,1表示“不关心”。
具体规则如下:
- rule 5: 拒绝源IP地址为10.1.1.1报文通过——因为通配符为全0,所以每一位都要严格匹配,因此匹配的是主机IP地址10.1.1.1;
- rule 15:允许源IP地址为10.1.1.0/24网段地址的报文通过——因为通配符:0.0.0.255,后8位为1,表示不关心,因此10.1.1.xxxxxxxx 的后8位可以为任意值,所以匹配的是10.1.1.0/24网段。
ACL 匹配顺序
“允许”是指允许流量通过吗?
如果是被其他功能调用,那么不叫“通过”,是匹配成功
放在接口上的话,代表过滤
ACL 匹配位置:
ACL 配置命令:
#创建ACL列表
[r1]acl 2000 #2000 为acl编号
#在ACL列表中添加规则
[r2-acl-basic-2000]rule permit(deny) source 192.168.1.3 0.0.0.255(通配符)
[r2-acl-basic-2000]rule permit source any
#查看acl列表
[r1]display acl 2000
#自定义序号添加规则
[r2-acl-basic-2000]rule 6 deny permit source 192.168.2.1 0.0.0.255
#按照序号删除规则
[r2-acl-basic-2000]undo rule 6
#在出方向接口上调用ACL列表
[r2-GigabitEthernet0/0/0]traffic-filter outbound(inbound) acl 2000
441
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
