【计算机网络基础】ACL
【计算机网络基础】ACL
访问控制列表(ACL)是计算机网络中用于控制网络流量的重要工具,广泛应用于流量过滤、防止攻击、信息泄露等场景。本文将详细介绍ACL的概念、工作原理、类型以及配置方法,帮助读者全面了解这一关键技术。
技术背景
如何保证网络的安全性需求,如:流量过滤、防止攻击、信息泄露等。
ACL定义
流量过滤
原理:调用在接口。
条件匹配
原理:调用在NAT、VPN、路由策略、防火墙策略、Qos等。
ACL工作原理
ACL由一条或多条规则组成。
每个接口在每个方向上只可应用一个ACL。
不能过滤由设备自己产生的数据。
规则:先精细后广泛。
ACL类型
命名分类
含义: Access Control List,访问控制列表(第一代防火墙)
由一系列permit或deny语句组成的、有序的规则列表。
设定条件,对报文进行匹配和区分。
主要应用:流量过滤、条件匹配。
命名类型 备注
数字型ACL 通过数字来标识ACL
命名型ACL 通过名称来标识ACL
数字型ACL
acl number + 数字(number可以省略)
分类 编号范围 参数
基本ACL 20002999 源IP地址、分片信息和生效时间段信息。3999 源/目的IP、IP协议类型、ICMP类型、源/目的端口号、生效时间段等。
高级ACL 3000
二层ACL 40004999 源/目的MAC、二层协议类型等。5999 报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。
用户自定义ACL 5000
用户ACL 6000~6999 既可使用源IP或源UCL(User Control List)组,也可使用目的IP或目的UCL组、IP协议类型、ICMP类型、源/目的端口、等来定义规则。
NAT、路由策略基本都用的基本ACL。
命名型ACL
acl name + 名字( + 数字)(name不可以省略)
如果有名字没数字默认是高级ACL,如果有名字无数字就根据数字编号来确定ACL类型。
e.g acl name data(高级ACL,从3999开始倒叙编号)
acl name data 2218(基本ACL)
掩码、反掩码、通配符
名称 规则 举例 应用 备注
掩码 连续的1和0 255.255.255.255.0 IP地址 1=网络位、0=主机位
反掩码 连续的0和1 0.0.0.255 OSPF 0=匹配,1=任意
通配符 任意的0和1 0.255.0.255 ACL 0=匹配,1=任意
举例 备注
192.168.0.1 0.0.0.0/0 匹配一个主机地址
192.168.0.0 0.0.0.255 匹配一个网段
192.168.0.1 0.0.0.254 匹配网段内奇数地址
192.168.0.0 0.0.0.254 匹配网段内偶数地址
any=x.x.x.x 255.255.255.255 匹配所有地址
ACL配置
命令 配置
acl2000rule5deny|permit source192.168.1.0 0.0.0.255 创建一个基本ACL 拒绝或允许源地址为192.168.1.0/24网段内的所有流量
acl3000rule5deny|permittcpsource192.168.1.0 0.0.0.255destination8.8.8.8 0destination-port eq80 创建一个高级ACL 拒绝或允许源地址为192.168.1.0/24网段到 8.8.8.8的HTTP流量
eq 等于 gt 大于 lt 小于 range 范围
traffic-filterinbound | outboundacl2000 在接口调用ACL进行流量过滤
display acl2000 验证ACL
display traffic-filter applied-record 验证设备上所有基于ACL调用情况
基本ACL配置案例
高级ACL配置案例
ACL调用方向建议
- 基本ACL尽量调用在离目标最近的出站接口outbound(允许或拒绝所有协议,我只关心你从哪里来)
- 高级ACL尽量调用在离源头最近的入站方向inbound(我可以知道你从哪里来,到哪里去,去做什么)