ACL 访问控制列表
技术信息
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
工作原理
- 当一个数据包进入一个端口,路由器检查这个数据包是否可路由。
- 如果是可以路由的,路由器检查这个端口是否有 ACL 控制进入数据包。
- 如果有,根据 ACL 中的条件指令,检查这个数据包。
- 如果数据包是被允许的,就查询路由表,决定数据包的目标端口。
- 路由器检查目标端口是否存在 ACL 控制流出的数据包。
- 若不存在,这个数据包就直接发送到目标端口
- 若存在,就再根据 ACL 进行取舍。然后在转发到目的端口。
标准 ACL
-
标准的 ACL 号:
- 华为:2000-2999
- 锐捷: 1-99,1300-1999
-
ACL 默认最后有一条 deny any,故允许(permit)的 ACL 应该写在上面。若是禁止某网段访问,其他网段均放通,则应该在最后加一条 permit any。
-
标准的 ACL 只匹配源 IP 地址(不写掩码只是匹配单个 ip,可以写掩码)
-
如果是单个 IP 地址,可写为 access-list 5 permit host 192.168.1.1
扩展 ACL
扩展 ACL 号:
华为:3000-3999
锐捷: 100-199,2000-2699
扩展 ACL 可匹配源地址、目的地址、IP 协议,tcp、udp、icmp、igmp 待协议; 如要允许所有目的端口是 tcp80 端口的流量:access-list 100 per tcp any any eq 80
配置方向
首先要明确 IN 和 OUT 方向是相对的,要根据数流的方向判断,以路由器为中心,数据流进入的方向是 IN 方向,数据流经过路由器转发出去的方向是 OUT 方向。以下图为例子,当数据经过 e0/0 到达 R4,再经过 e0/1 转发,则对于该路由器而已,该数据的 e0/0 口是 IN 方向,e0/1 口是 OUT 方向,若对该数据进行做 ACL,可以选择在 IN 方向或者 OUT 方向上做都可以,后面有例子解析。
