【计算机网络基础】ACL
技术背景
如何保证网络的安全性需求,如:流量过滤、防止攻击、信息泄露等。
ACL定义
流量过滤
原理:调用在接口。
条件匹配
原理:调用在NAT、VPN、路由策略、防火墙策略、Qos等。
ACL工作原理
ACL由一条或多条规则组成。
每个接口在每个方向上只可应用一个ACL。
不能过滤由设备自己产生的数据。
规则:先精细后广泛。
ACL类型
命名分类
- 含义: Access Control List,访问控制列表(第一代防火墙)
-
由一系列permit或deny语句组成的、有序的规则列表。
-
设定条件,对报文进行匹配和区分。
-
主要应用:流量过滤、条件匹配。
| 命名类型 | 备注 |
|---|---|
| 数字型ACL | 通过数字来标识ACL |
| 命名型ACL | 通过名称来标识ACL |
数字型ACL
acl number + 数字(number可以省略)
| 分类 | 编号范围 | 参数 |
|---|---|---|
| 基本ACL | 2000~2999 | 源IP地址、分片信息和生效时间段信息。 |
| 高级ACL | 3000~3999 | 源/目的IP、IP协议类型、ICMP类型、源/目的端口号、生效时间段等。 |
| 二层ACL | 4000~4999 | 源/目的MAC、二层协议类型等。 |
| 用户自定义ACL | 5000~5999 | 报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。 |
| 用户ACL | 6000~6999 | 既可使用源IP或源UCL(User Control List)组,也可使用目的IP或目的UCL组、IP协议类型、ICMP类型、源/目的端口、等来定义规则。 |
NAT、路由策略基本都用的基本ACL。
命名型ACL
acl name + 名字( + 数字)(name不可以省略)
如果有名字没数字默认是高级ACL,如果有名字无数字就根据数字编号来确定ACL类型。
e.g acl name data(高级ACL,从3999开始倒叙编号)
acl name data 2218(基本ACL)
掩码、反掩码、通配符
| 名称 | 规则 | 举例 | 应用 | 备注 |
|---|---|---|---|---|
| 掩码 | 连续的1和0 | 255.255.255.255.0 | IP地址 | 1=网络位、0=主机位 |
| 反掩码 | 连续的0和1 | 0.0.0.255 | OSPF | 0=匹配,1=任意 |
| 通配符 | 任意的0和1 | 0.255.0.255 | ACL | 0=匹配,1=任意 |
| 举例 | 备注 |
|---|---|
| 192.168.0.1 0.0.0.0/0 | 匹配一个主机地址 |
| 192.168.0.0 0.0.0.255 | 匹配一个网段 |
| 192.168.0.1 0.0.0.254 | 匹配网段内奇数地址 |
| 192.168.0.0 0.0.0.254 | 匹配网段内偶数地址 |
| any=x.x.x.x 255.255.255.255 | 匹配所有地址 |
ACL配置
| 命令 | 配置 |
|---|---|
acl 2000 rule 5 deny | permit source 192.168.1.0 0.0.0.255 | 创建一个基本ACL 拒绝或允许源地址为192.168.1.0/24网段内的所有流量 |
acl 3000 rule 5 deny | permit tcp source 192.168.1.0 0.0.0.255 destination 8.8.8.8 0 destination-port eq 80 | 创建一个高级ACL 拒绝或允许源地址为192.168.1.0/24网段到 8.8.8.8的HTTP流量 |
| eq 等于 gt 大于 lt 小于 range 范围 | |
traffic-filter inbound | outbound acl 2000 | 在接口调用ACL进行流量过滤 |
display acl 2000 | 验证ACL |
display traffic-filter applied-record | 验证设备上所有基于ACL调用情况 |
基本ACL配置案例
高级ACL配置案例
ACL调用方向建议
- 基本ACL尽量调用在离目标最近的出站接口outbound(允许或拒绝所有协议,我只关心你从哪里来)
- 高级ACL尽量调用在离源头最近的入站方向inbound(我可以知道你从哪里来,到哪里去,去做什么)
关注我~我将更新更多计算机网络相关知识和其他IT领域的知识~