什么是ACL？

什么是ACL？

引用

CSDN

1.

https://m.blog.csdn.net/weixin_67092935/article/details/137696849

访问控制列表（ACL）是网络设备中常用的一种安全机制，用于控制网络流量的访问权限。本文将详细介绍ACL的概念、原理、分类、配置方法及其在网络中的应用，帮助读者全面了解这一重要的网络技术。

什么是ACL?

访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

ACL的基本原理

ACL由一系列规则组成，通过将报文与ACL规则进行匹配，设备可以过滤出特定的报文。当数据包从接口经过时，由于接口启用了ACL，此时路由器会对报文进行检查，然后做出相应的处理。

为什么需要ACL？

根据规则过滤的ACL，能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等的功能，从而提高网络环境的安全性和网络传输的可靠性。

ACL是怎么工作的？

ACL工作主要是根据规则进行，ACL规则里包括他的规则编号（顺序），动作（允许或者拒绝）规则匹配的地址段（源/源-目的）生效时间段。

ACL分类

基于ACL规则定义方式的划分，可分为：

• 基本ACL：基于源IP地址进行过滤。
• 高级ACL：除了基于源和目的IP地址外，还可以基于协议类型、端口号等更复杂的条件过滤。
• 二层ACL
• 用户自定义ACL
• 用户ACL

基于ACL标识方法的划分，则可分为：

• 数字型ACL
• 命名型ACL

ACL的两种作用

1. 用来对数据包做访问控制
2. 结合其他协议用来匹配范围

ACL的匹配位置

ACL在接口上的应用：

• 在入口上：数据包从入口进路由器，就会被路由器处理。
• 在出口上：数据包在经过路由器处理后，才会让它从出口出去。

ACL的应用原则：

• 基本ACL，尽量用在靠近目的点。
• 高级ACL，尽量用在靠近源的地方

应用规则

1. 一个接口的同一个方向，只能调用一个ACL
2. 一个ACI里面可以有多个rule规则，按照规则ID从小到大排序，从上往下依次执行
3. 数据包一旦被某rule匹配，就不再继续向下匹配
4. 用来做数据包访问控制时，默认隐含放过所有(华为设备)

基本ACL配置

1. PC1不能ping通Server1
2. PC2可以ping通Server1
3. PC1可以ping通 PC2

R1配置

[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.100.254 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[R1]acl 2000
[R1-acl-basic-2000]rule 5 deny source 192.168.1.1 0.0.0.0 //抓取这个IP流量并拒绝它
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 //相对于PC1来说在出接口上调用

验证配置效果

1. PC1不能ping通Server1
2. PC2可以ping通Server1
3. PC1可以ping通 PC2

配置举例

IP标准ACL配置举例

1. 组网需求

通过配置IP标准ACL，禁止财务部以外的部门访问财务数据服务器。

2. 组网图

3. 配置要点

• Device A配置IP标准ACL并添加访问规则。
• Device A将IP标准ACL应用在连接财务数据服务器接口的出方向上。

4. 配置步骤

(1) 配置IP标准ACL并添加访问规则。

DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# ip access-list standard 1
DeviceA(config-std-nacl)# permit 10.1.1.0 0.0.0.255
DeviceA(config-std-nacl)# deny 11.1.1.1 0.0.0.255
DeviceA(config-std-nacl)# exit

(2) 将IP标准ACL应用到接口上。

DeviceA(config)# interface gigabitethernet 0/3
DeviceA(config-if-GigabitEthernet 0/3)# ip access-group 1 out

5. 验证配置结果

DeviceA# show access-lists
ip access-list standard 1
10 permit 10.1.1.0 0.0.0.255
20 deny 11.1.1.0 0.0.0.255
DeviceA# show access-group
ip access-group 1 out
Applied On interface GigabitEthernet 0/3

从开发部的某台PC机上ping财务数据服务器，确认ping不通。

从财务部的某台PC机上ping财务数据服务器，确认能ping通。

6. 配置文件

l DeviceA的配置文件

hostname DeviceA
ip access-list standard 1
10 permit 10.1.1.0 0.0.0.255
20 deny 11.1.1.0 0.0.0.255
interface GigabitEthernet 0/1
no switchport
ip address 10.1.1.1 255.255.255.0
interface GigabitEthernet 0/2
no switchport
ip address 11.1.1.1 255.255.255.0
interface GigabitEthernet 0/3
no switchport
ip access-group 1 out
ip address 12.1.1.1 255.255.255.0
完成

综合实验-EVE-NG

1. 某车企内网使用的ACL
   
2. 某车企内网使用的ACL
   FTP-Server
   3.验证
   VPC1 ping 通 VPC2
   VPC1 ping 通 VPC3
   VPC1 ping 通 FTP-Server
   VPC2 ping通 VPC3
   VPC2 ping通 FTP-Server
   VPC3 ping通 FTP-Server
   4..使用ACL进行内网安全控制配

• 允许设计中心设备访问汽车工程研究院FTP服务器
• 禁止其它设备访问汽车工程研究院FTP服务器

网络ACL配置流程

1. 参考创建网络ACL创建网络ACL。
2. 参考添加网络ACL规则添加网络ACL规则。
3. 参考将子网络关联至网络ACL将子网与网络ACL关联。子网络关联后，网络ACL将自动开启并生成。

配置ACL规则时：

• 如果指定的rule-id已存在，且新规则与原规则存在冲突，则冲突的部分新规则代替原规则，相当编辑一个已经存在的ACL的规则。
• 不同的ACL匹配顺序，可能会造成不同的报文匹配结果。
• 很多没有配置ACL规则的业务也会占用ACL资源，可以通过执行命令display system tcam service brief 查看业务占用ACL资源的情况。

删除ACL规则时：规则即使被引用，使用undo rule 命令行也可以删除该规则。请谨慎操作，在删除前使用display cyrrent-configyration l include acl 判断该规则是否已经被引用。若在引用中被删除会导致该规则失效。

目的

随着网络的飞速发展，网络安全和网络服务质量QoS（Quality of Service）问题日益突出。

• 企业重要服务器资源被随意访问，企业机密信息容易泄露，造成安全隐患。
• Internet病毒肆意侵略企业内网，内网环境的安全性堪忧。
• 网络带宽被各类业务随意挤占，服务质量要求最高的语音、视频业务的带宽得不到保障，造成用户体验差。

以上种种问题，都对正常的网络通信造成了很大的影响。因此，提高网络安全性服务质量迫在眉睫。ACL就在这种情况下应运而生了。通过ACL可以实现对网络中报文流的精确识别和控制，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

ACL是Cisco IOS 软件中最常用的功能之一，其应用非常广泛，可以实现如下典型的功能：

• 限制网络流量以提高网络性能。
• 提供基本的网络访问安全。
• 控制路由更新的内容。
• 在QoS实施中对数据包进行分类。
• 定义IPSec VPN的感兴趣流量。
• 定义策略路由的匹配策略。

图1-1 ACL典型应用场景：

• 某企业为保证财务数据安全，禁止研发部门访问财务服务器，但总裁办公室不受限制。实现方式：在Interface 1的入方向上部署ACL，禁止研发部门访问财务服务器的报文通过。Interface 2上无需部署ACL，总裁办公室访问财务服务器的报文默认允许通过。
• 保护企业内网环境安全，防止Internet病毒入侵。实现方式：在Interface 3的入方向上部署ACL，将病毒经常使用的端口予以封堵。

特点：

1. 灵活性：ACL支持多种匹配条件，可以根据需要设置各种过滤规则。
2. 细粒度控制：ACL可以基于源IP地址、协议类型、端口等多个因素进行流量控制。
3. 有效性：ACL能够提供有效的流量过滤和访问控制、保护网络安全和资源利用率。
4. 可扩展性：ACL可以在网络设备的多个接口上配置，并支持不同的方向。
5. 简单部署：ACL配置相对简单，易于实现和管理。

通过学习和探索，对自然语言处理领域的基础概念、方法和技术有了更多的理解。掌握ACL的基本配置方法，并了解其在网络安全中的重要作用。通过实践操作，加深对ACL的理解，为今后在网络管理和安全中的应用打下基础。