ACL(访问控制列表)的分类和作用?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ACL(访问控制列表)的分类和作用?相关的知识,希望对你有一定的参考价值。

IP访问控制列表的分类

  标准IP访问控制列表

  当我们要想阻止来自某一网络的所有通信流量,或者充许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。

  扩展IP访问控制列表

  扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。

  命名访问控制列表

  在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。

  在使用命名访问控制列表时,要求路由器的ios在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。
参考技术A 分类:基于接口访问控制列表(1000-1999)
基本访问控制列表(2000-2999)
高级访问控制列表(3000-3999)
基于mac地址访问控制列表(4000-4999)
作用:1、控制流量 2、在dcc中控制拨号条件 3、可用于路由信息过滤

ACL分类

ACL分类

1)ACL的标识
可以给访问控制列表指定名称,便于维护
利用数字序号标识访问控制列表

2)基本ACL
基本访问控制列表只根据报文的源IP地址信息制定规则

3)高级ACL
高级访问控制列表根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则

4)二层ACL
二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则

技术图片

5)ACL的步长
ACL 中的每条规则都有自己的编号,这个编号在该ACL中是唯一的。在创建规则时,可以手工为其指定一个编号,如未手工指定编号,则由系统为其自动分配一个编号。
由于规则的编号可能影响规则匹配的顺序,因此当由系统自动分配编号时,为了方便后续在已有规则之前插入新的规则,系统通常会在相邻编号之间留下一定的空间,这个空间的大小(即相邻编号之间的差值)就称为ACL的步长。
譬如,当步长为5 时,系统会将编号0、5、10、15……依次分配给新创建的规则。
六、配置ACL包过滤
1)ACL包过滤配置任务
根据需要选择合适的ACL分类
创建正确的规则
设置匹配条件
设置合适的动作(Permit/Deny)
在路由器的接口上应用ACL,并指明过滤报文的方向(入站/出站)
2)设置包过滤规则
包过滤功能默认开启
设置包过滤的默认过滤方式
系统默认的过滤方式是permit,即允许未匹配上ACL规则的报文通过
可以配置包过滤的缺省动作为deny
[H3C] packet-filter default deny

3)配置基本ACL
配置基本ACL,并指定ACL序号
基本IPv4 ACL的序号取值范围为2000~2999
[H3C] acl basic acl-number

定义规则
制定要匹配的源IP地址范围
指定动作是permit或deny
[H3C-acl-basic-2000] rule [ rule-id ]{ deny | permit } [ counting | fragment | logging | source{ sour-addrsour-wildcard| any }|time-range time-range-name]

4)配置高级ACL
配置高级IPv4 ACL,并指定ACL序号
高级IPv4 ACL的序号取值范围为3000~3999
[H3C] acl advanced acl-number

定义规则
需要配置规则来匹配源IP地址、目的IP地址、IP承载的协议类型、协议端口号等信息
指定动作是permit或deny
[H3C-acl-adv-3000]rule [ rule-id ] { deny | permit } protocol [ destination { dest-addr dest-wildcard| any } | destination-port operator port1[ port2 ] established | fragment | source { sour-addr sour-wildcard | any } | source-port operator port1[ port2 ] |time-range time-range-name ]

5)配置二层ACL
配置二层ACL,并指定ACL序号
二层ACL的序号取值范围为4000~4999
[H3C] acl mac acl-number

定义规则
需要配置规则来匹配源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息
指定动作是permit或拒绝deny
[H3C-acl-ethernetframe-4000]rule [ rule-id ] { deny| permit } [ cos vlan-pri | dest-mac dest-addr dest-mask| lsap lsap-type lsap-type-mask | source-mac sour-addr source-mask| time-range time-range-name]

6)在接口上应用ACL
将ACL应用到接口上,配置的ACL包过滤才能生效
指明在接口上应用的方向是Outbound(数据离开路由器的方向)还是Inbound(数据进入路由器的方向)
[H3C-Serial2/0 ] packet-filter { acl-number |name acl-name } { inbound| outbound}

7)ACL包过滤显示与调试

七、ACL包过滤的注意事项
1)ACL规则的匹配顺序
匹配顺序指ACL中规则的优先级
ACL支持两种匹配顺序:
配置顺序(config):按照用户配置规则的先后顺序进行规则匹配

自动排序(auto):按照“深度优先”的顺序进行规则匹配,即地址范围小的规则被优先进行匹配
配置ACL的匹配顺序:
[H3C] acl number acl-number[match-order {auto | config}]

2)不同匹配顺序导致结果不同

3)在网络中的正确位置配置ACL包过滤
尽可能在靠近数据源的路由器接口上配置ACL,以减少不必要的流量转发
高级ACL
应该在靠近被过滤源的接口上应用ACL,以尽早阻止不必要的流量进入网络
基本ACL
过于靠近被过滤源的基本ACL可能阻止该源访问合法目的
应在不影响其他合法访问的前提下,尽可能使ACL靠近被过滤的源

4)ACL部署位置示例
基本ACL部署位置示例

高级ACL部署位置示例

5)ACL包过滤的局限性
ACL包过滤是根据数据包头中的二、三、四层信息来进行报文过滤的,对应用层的信息无法识别
无法根据用户名来决定数据是否通过
无法给不同的用户授予不同的权限级别
ACL包过滤防火墙是静态防火墙,无法对应用层的协议进行动态检测

以上是关于ACL(访问控制列表)的分类和作用?的主要内容,如果未能解决你的问题,请参考以下文章

ACL访问控制列表规则建立增加条目删除条目.

ACL分类

路由交换基础——ACL访问控制列表

acl访问控制列表

华为HCNA访问控制列表ACL实例配置

ACL——访问控制列表