贵阳建网站公司,站酷网官网下载,传统企业如果建立网站,机械做卖产品网站ACL技术概述 • 随着网络的飞速发展#xff0c;网络安全和网络服务质量 QoS #xff08; Quality of Service #xff09;问题日益突出。 ▫ 园区重要服务器资源被随意访问#xff0c;园区机密信息容易泄露#xff0c;造成安全隐患。 ▫ Internet 病毒肆意侵略园区内网网络安全和网络服务质量 QoS Quality of Service 问题日益突出。 ▫ 园区重要服务器资源被随意访问园区机密信息容易泄露造成安全隐患。 ▫ Internet 病毒肆意侵略园区内网内网环境的安全性堪忧。 ▫ 网络带宽被各类业务随意挤占服务质量要求最高的语音、视频业务的带宽得不到保障造成用户体验差。 • 以上种种问题都对正常的网络通信造成了很大的影响。因此提高网络安全性和服务质量迫在眉睫我们需要对网络进行控制。比如需要借助一个工具帮助实现一些流量的过滤。 通过ACL可以实现对网络中报文流的精确识别和控制达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的从而切实保障网络环境的安全性和网络服务质量的可靠性。
ACL是由permit或deny语句组成的一系列有顺序的规则的集合它通过匹配报文的相关字段实现对报文的分类。ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具ACL还能够用于匹配路由条目。
注意ACL可以通过对网络中报文流的精确识别与其他技术结合达到控制网络访问行为。 ACL基本概念
ACL分类 • 基本 ACL ▫ 主要针对 IP 报文的源 IP 地址进行匹配基本 ACL 的编号范围是 2000-2999 。 ▫ 比如这个例子创建的是 acl 2000 就意味着创建的是基本 ACL 。 • 高级 ACL ▫ 可以根据 IP 报文中的源 IP 地址、目的 IP 地址、协议类型 TCP 或 UDP 的源目端口号等元素进行匹配可以理解为基本 ACL 是高级 ACL 的一个子集高级 ACL 可以比基本 ACL 定义出更精确、更复杂、更灵活的规则。 此篇文章主要讲解基本ACL和高级ACL。 ACL组成
ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则每条语句中的permit或deny就是与这条规则相对应的处理动作。
例如
rule 5 permit source 192.168.1.1 0.0.0.0
节点 动作 匹配项 参数 通配符掩码 节点 一个ACL的每条规则都需要进行排列 默认5的步长进行条目的排列取值范围是0-4294967294 [AR1-acl-basic-2000]step 1-20 设置步长默认为5
动作permit/deny 只是做为标记使用具体是允许通过还是禁止通过是由其他技术决定的
匹配项ACL定义了极其丰富的匹配项。例子中体现的源地址ACL还支持很多其他规则匹配项。例如二层以太网帧头信息如源MAC、目的MAC、以太帧协议类型、三层报文信息如目的地址、协议类型以及四层报文信息如TCP/UDP端口号等。
参数具体的信息。
通配符掩码不需要连续的1和连续的0组合0表示精确匹配1表示任意匹配。
• 如果想匹配 192.168.1.0/24 网段中的奇数 IP 地址通配符该怎么写呢 ▫ 我们先来看一看奇数 IP 地址都有哪些 192.168.1.1 、 192.168.1.5 、 192.168.1.11…… ▫ 后八位写成二进制 192.168.1.00000001 、 192.168.1.00000101 、 192.168.1.00001011…… ▫ 可以看出共同点最后 8 位的高 7 位是任意值最低位固定为 1 因此答案是 192.168.1.1 0.0.0.254 0.0.0.11111110 • 这就得出了通配符的一个特点通配符中的 1或者0 是可以不连续的。 • 还有两个特殊的通配符 ▫ 当通配符全为 0 来匹配 IP 地址时表示精确匹配某个 IP 地址 ▫ 当通配符全为 1 来匹配 0.0.0.0 地址时表示匹配了所有 IP 地址。 ACL匹配机制 • ACL 的匹配机制概括来说就是 ▫ 配置 ACL 的设备接收报文后会将该报文与 ACL 中的规则逐条进行匹配如果不能匹配上就会继续尝试去匹配下一条规则。 ▫ 一旦匹配上则设备会对该报文执行这条规则中定义的处理动作并且不再继续尝试与后续规则匹配。 • 匹配流程首先系统会查找设备上是否配置了 ACL 。 ▫ 如果 ACL 不存在则返回 ACL 匹配结果为不匹配。 ▫ 如果 ACL 存在则查找设备是否配置了 ACL 规则。 ▪ 如果规则不存在则返回 ACL 匹配结果为不匹配。 ▪ 如果规则存在则系统会从 ACL 中编号最小的规则开始查找。 − 如果匹配上了 permit 规则则停止查找规则并返回 ACL 匹配结果为匹配允许。 − 如果匹配上了 deny 规则则停止查找规则并返回 ACL 匹配结果为匹配拒绝。 − 如果未匹配上规则则继续查找下一条规则以此循环。如果一直查到最后一条规则报文仍未匹配上则返回 ACL 匹配结果为不匹配。 • 从整个 ACL 匹配流程可以看出报文与 ACL 规则匹配后会产生两种匹配结果“匹配”和“不匹配”。 ▫ 匹配命中规则指存在 ACL 且在 ACL 中查找到了符合匹配条件的规则。不论匹配的动作是“ permit” 还是“ deny” 都称为“匹配”而不是只是匹配上 permit 规则才算“匹配”。 ▫ 不匹配未命中规则指不存在 ACL 或 ACL 中无规则再或者在 ACL 中遍历了所有规则都没有找到符合匹配条件的规则。以上三种情况都叫做“不匹配”。 • 匹配原则一旦命中即停止匹配。 注意
ACL根据匹配信息不同最终隐含规则也不同
1.如果ACL匹配的是流量则默认是允许所有
2.如果ACL匹配的是路由则默认是拒绝所有 ACL的匹配位置 ACL应用案例
通过ACL实现流量过滤 如图要使PC1能够和PC2通信但是不能和PC3通信应该如何配置ACL呢
各个主机IP地址为 法一在交换机上配置基本ACL实现流量过滤 先在全局视图下创建基本ACL匹配源地址为192.168.1.1PC1的流量然后在交换机的GE 0/0/3的出方向过滤掉该流量。
结果 可以看到通过基本ACL实现了PC1能够访问PC2不能够访问PC3。 法二在交换机上配置高级ACL实现流量过滤 先在全局视图下创建高级ACL匹配源地址为192.168.1.1PC1目的地址为192.168.1.3PC3的流量然后在交换机的GE 0/0/1的入方向过滤掉该流量。
结果 可以看到通过高级ACL实现了PC1能够访问PC2不能够访问PC3。
