ACL访问控制列表

Posted kiroct

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ACL访问控制列表相关的知识,希望对你有一定的参考价值。

定义:

1、读取第三层、第四层的包头信息(网络层与传输层)——读取源ip与目的ip;源端口与目的端口

2、根据预先定义好的规格对包进行过滤

作用:

1、对数据包做访问控制

2、结合其他协议,用来匹配范围

工作原理:当数据包从端口经过时,接口启用了acl,此时路由器对报文进行检查,然后做出相应的处理。

访问控制列表接口应用方向

出:已经经过路由器的处理,正在离开路由器接口的包

入:已经到达路由器接口的包,将被路由器处理

!基本acl:只能匹配源IP地址(序列号2000-2999)

!高级acl:可以匹配源ip、目标ip、源端口、目标端口与相关字段和协议等)(序列号3000-3999)

二层acl“范围4000-4999”:对目标mac、源mac802.1q等二层协议进行规则制定(了解)

ps:本章主要讲述基础acl+高级acl

ACL的应用原则:

基本acl:用在靠近目的地的点

高级acl:尽量用在靠近源的地方(保护带宽与其他资源)

应用规则:

1、一个接口的同一方向,只能调用一个acl

2、一个acl包含多个rule规则,按照rule id从小到大排序,从上往下依次匹配

3、数据包一旦被某一条rule匹配到,不再往下匹配

4、用来做数据包访问控制时,默认隐含放过所有(华为环境)

反掩码:

1、如果只是表示一台设备的时候就是 0

2、默认24掩码下。c类网段的反掩码就是0.0.0.255(既c类网段的可用ip数)

2、用该掩码点分十进制表示,255减去每个字段的值就是反掩码


指令:(华为)

备注:在你面对要求时,想好自己的规则建立规划,哪个端口,进还是出,怎么设立规则。再动手

基础acl(2000-2999)

简单设置某个源ip禁止访问

acl 2000;设置ACL编号
rule 5 deny soure 192.168.1.1 0(0为反掩码,表示仅此一台);设置5号规则,拒绝源地址192.168.1.1的流量
int g0/0/1
traffice-filter outbound acl 2000;进入1号端口并在出口端采用acl规则2000
undo shutdown;端口不关闭

简单设置某个源ip允许访问

acl 2001;设置ACL编号
rule permit source 192.168.1.0 0.0.0.255(0.0.0.255为反掩码);设置规则,允许来自源地址192.168.1.1的流量{未设置rule X时,默认从5开始}
rule deny source any 或者 rule deny;拒绝所有流量访问
int g0/0/1
traffic-filter outbound acl 2001;进入1号端口并在出口端采用acl规则2001

高级acl(3000-3999)

拒绝某个协议

acl 3000;设置ACL编号
int g0/0/1
rule deny icmp sourcr 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 ;禁止来自192.168.1.0网段的流量对192.168.3.1主机的使用ICMP协议(ping)
rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80;允许源ip地址位192.168.1.3的流量使用TCP协议通过80端口访问192.168.3.1的主机
rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80:禁止任何流量通过tcp的80端口访问192.168.3.1主机
rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21;禁止192.168.10.0的网段流量通过TCP协议的21号端口访问12.0.0.2的主机

int g0/0/1
traffic-filter inbound acl 3000;该1号端口的进口端采用acl 3000
undo traffic-filter inbound; 该端口取消acl x号规则
undo rule X;取消规则第几号
undo acl 2000;取消acl 2000

以上是关于ACL访问控制列表的主要内容,如果未能解决你的问题,请参考以下文章

ACL 访问控制列表

ACL标准访问控制列表

ACL访问控制列表——命名访问控制列表(实操!!!)

ACL访问控制列表理论

ACL(访问控制列表)的分类和作用?

acl访问控制列表