成都网站建设十强企业,我想做个网站,网站建设费用计算,做平面资源比较好的网站上一篇介绍NAT时候就看到了ACL这个东西了#xff0c;这个是什么意思#xff1f;有什么作用呢#xff1f; 一、ACL访问控制列表 访问控制列表 (ACL, Access Control List)是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具#xff0c;能够对报文进行匹配… 上一篇介绍NAT时候就看到了ACL这个东西了这个是什么意思有什么作用呢 一、ACL访问控制列表 访问控制列表 (ACL, Access Control List)是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具能够对报文进行匹配和区分。简单来讲就是一个过滤列表一般配合其它技术实现功能。ACL可以通过对网络中报文流的精确识别与其他技术结合达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的从而切实保障网络环境的安全性和网络服务质量的可靠性。 比如下面这种情况 我们实际上使用不同VLAN划分不同网段以区分不同功能。因此对于内网不同网段的策略可以使用ACL访问控制列表进行控制。网络流量是有方向和一来一回数据流的因此一般可以在发送或者接收时调用ACL。 二、ACL的组成 ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则每条语句中的permit或deny就是与这条规则相对应的处理动作。 ACL组成 2.1 ACL编号 在网络设备上配置ACL时每个ACL列表都需要分配一个编号称为ACL编号用来标识ACL。不同分类的ACL编号范围不同。这个编号与下面将要介绍的ACL分类相关。 2.2 ACL规则 前面提到了一个ACL通常由若干条“permit/deny”语句组成每条语句就是该ACL的一条规则。ACL规则包含规则编号规则处理动作匹配项如果没有指定规则编号则有缺省规则编号和步长。 2.1 规则编号Rule ID 一个ACL中的每一条规则都有一个相应的编号。 2.2 步长Step: 步长是系统自动为ACL规则分配编号时每个相邻规则编号之间的差值缺省值为5。步长的作用是为了方便后续在旧规则之间插入新的规则。比如缺省规则编号0 5 10 15 .... 规则编号 2.3 动作 每条规则中的permit或deny就是与这条规则相对应的处理动作。permit指“允许”deny指“拒绝”但是ACL一般是结合其他技术使用不同的场景处理动作的含义也有所不同。 2.4 匹配项 ACL定义了极其丰富的匹配项。例子中体现的源地址ACL还支持很多其他规则匹配项。例如二层以太网帧头信息如源MAC、目的MAC、以太帧协议类型、三层报文信息如目的地址、协议类型以及四层报文信息如TCP/UDP端口号等。只有匹配到相应的条件才执行相应的动作。 在这里需要了解一个知识通配符 (Wildcard) 通配符是一个32比特长度的数值用于指示IP地址中哪些比特位需要严格匹配哪些比特位无需匹配。 通配符通常采用类似网络掩码的点分十进制形式表示但是含义却与网络掩码完全不同。 通配符可以不连续 因为ACL一般用来匹配源地址、目的地址、源端口和目的端口因此需要使用地址通配符形式进行匹配。参考上面图例192.168.1.0 0.0.0.255 转换成二进制可以表示0段必须为192.168.1最后一段可以为1-255。192.168.1.0 0.0.0.255 表示一个网段192.168.1.1 0 表示一个主机位即全部匹配0.0.0.0 255.255.255.255 表示所有地址 通配符中的1或者0可以不连续进行灵活匹配一般用于匹配网段或者一个主机。 注意每个ACL系统都在ACL末尾隐含的规则拒绝所有rule 4294967294 deny 三、ACL的分类 一般有两种分类基于ACL规则号分类基于ACL命名的ACL一般常用编号进行定义。 基于ACL规则定义方式的分类常用的为基本ACL和高级ACL。 分类编号范围规则定义描述基本ACL2000~2999仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。高级ACL3000~3999可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。二层ACL4000~4999使用报文的以太网帧头信息来定义规则如根据源MAC地址、目的MAC地址、二层协议类型等。用户自定义ACL5000~5999使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。用户ACL6000~6999既可使用IPv4报文的源IP地址或源UCLUser Control List组也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。 基于ACL标识方法的分类: 分类规则定义描述数字型ACL传统的ACL标识方法。创建ACL时指定一个唯一的数字标识该ACL。命名型ACL通过名称代替编号来标识ACL。 我们这里主要学习基本ACL和高级ACL。 基本ACL一般只用来匹配源地址高级ACL可以匹配源地址、目的地址、源端口、目的端口更为灵活。因此基本ACL一般用来匹配一个网络所有流量高级ACL匹配一个网络去往不同目的网络或者不同流量的匹配(HTTP、DNS、FTP、TELNET等等) 四、ACL的工作原理 1、ACL的匹配机制 2、ACL的匹配机制概括来说就是 配置ACL的设备接收报文后会将该报文与ACL中的规则逐条进行匹配如果不能匹配上就会继续尝试去匹配下一条规则。 匹配顺序按照规则编号从小到大匹配 一旦匹配上则设备会对该报文执行这条规则中定义的处理动作并且不再继续尝试与后续规则匹配。 在末尾有一条隐含的拒绝所有流量的rule规则 3、ACL的匹配顺序与结果; 建议匹配严格的规则放在前面宽泛匹配的放在后面顺序匹配。 4、ACL的匹配位置: 匹配位置 可以想象成一条数据为写一封信从你寄出信--接收方收到信-再到接收方回复内容--你收到回信这才是一个完整的过程你可以选择在发出时候进行匹配或者在回信的过程进行匹配拦截。ACL的应用可以在物理接口或者三层逻辑接口如VLANIF上以及路由策略等应用。 一般情况下建议遵循以下规则 基本ACL在靠近发送端因为基本ACL匹配所有流量影响全部流量 高级ACL部署在靠近接收端因为只是匹配其中特定特征流量可能不会影响其它流量 四、ACL的配置应用与实践 ACL的应用很广泛可以用于以下场景 匹配IP流量 在Traffic-filter中被调用 在NATNetwork Address Translation中被调用 在路由策略中被调用 在防火墙的策略部署中被调用 在QoS中被调用 其他…… ACL配置因为基本ACL和高级ACL的匹配项不一样因此配置上有一些不一样。 基本ACL: # 创建基本ACL,并进入基本ACL视图。
[Huawei] acl [ number(20002999) ] acl-number [ match-order config ]# 配置基本ACL的规则
[Huawei-acl-basic-2000] rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | time-range time-name ] # 示例
acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255高级ACL: # 创建高级ACL,进入高级ACL视图。
[Huawei] acl [ number(3000-3999) ] acl-number [ match-order config ]# 配置基本ACL的规则
# 根据IP承载的协议类型不同在设备上配置不同的高级ACL规则。对于不同的协议类型有不同的参数组合。
# 当参数protocol为IP时高级ACL的命令格式为
rule [ rule-id ] { deny | permit } ip [ destination { destination-address destination-wildcard | any } | source { source-address source-wildcard | any } | time-range time-name | [ dscp dscp | [ tos tos | precedence precedence ] ] ] # 当参数protocol为TCP时高级ACL的命令格式为
rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | fin | syn } * | time-range time-name ] *# 简单说就是IP协议可以匹配源地址、目的地址TCP可以匹配源端口、目的端口
# 示例
acl number 3000 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255rule 10 permit tcp source 192.168.1.0 0.0.0.255 source-port eq telnet destinati
on 192.168.2.0 0.0.0.255总结ACL一般使用编号进行区分。基本ACL(2000-2999)支持源地址匹配高级ACL(3000-3999)支持匹配源地址、目的地址、源端口和目的端口。地址的匹配使用地址通配符进行匹配选择通配符可以不连续进行灵活匹配。每个ACL末尾隐含一条拒绝所有的ruleACL规则按顺序匹配如果没有指定rule编号则缺省步长为5。基本ACL靠近源端匹配高级ACL靠近目的端进行匹配ACL可以应用于流量过滤、NAT、路由策略、策略路由等场景。 本文由 mdnice 多平台发布
