ACL
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ACL相关的知识,希望对你有一定的参考价值。
1. ACL访问控制列表
1.1 作用:
(控制和匹配)能够通过匹配IP报文中的相关字段对感兴趣数据包进行抓取;抓取特定的路由。应用在报文过滤、路由策略、NAT、×××、QoS等。
1.2 ACL类型
? 标准:
? 只能匹配报头中的源IP地址
? 只能针对整个协议采取动作,无法针对特定的协议类型
? 扩展:
? 能匹配源目IP,以及四层端口号等信息
? 可以针对具体的协议类型进行匹配
? 隐藏规则:默认拒绝所有
? 匹配原则:从上到下匹配
? 命名原则:数字命名与字符串命名(反掩码)
1.3 时间ACL(指定的时间内应用相应的ACL)
time-range 名字;periodic weekdays 9:00 to 18:00
1.4 自反ACL:内部允许访问外部,外部不允许访问内部。https://blog.csdn.net/u013047651/article/details/23019243(类似与防火墙)
1.5 ACL的分法:
主流的分发为:基于编号的ACL和基于命名ACLVACL属于三种交换ACL(PACL,RACL,VACL)中的一种PACL (Port ACL)是应用在二层接口上的,并没有任何特别之处,将任何ACL应用到二层接口后,就称为Port ACL,但在二层接口只支持in方向,一个接口只能使用一条ACL,IP或MAC的ACL都可以应用到二层接口,但不能应用到EtherChannel.MAC是无法过滤IP流量的.RACL (Router ACL)和路由器接口上应用的ACL没有区别,将任何ACL应用到三层接口(SVI, routing-port,3层EtherChannel)后,就称为RouterACL,但只能是IP ACL,不能使MAC ACL ,Router ACL在in和out方向上都可以使用,每个接口每个方向只能使用一条ACL.VACL (VLAN ACL(VLAN map))是使用在VLAN与VLAN之间的ACL,每个VLAN只能使用一个,当需要控制IPv4流量时,VLAN ACL需要调用IP ACL,而其他流量则需要靠调用MAC ACL.①当应用VLAN ACL后,进入或离开VLAN的流量都会被检测,②无论是通过二层转发的还是三层转发的.③而且VLAN ACL是不能定义方向的,所以所有经过指定VLAN的流都会被过滤.当被调用的ACL匹配到流量后,默认动作是转发,而没有被匹配到的流量,默认也全部丢弃.
2. NAT网络地址转换
1.1 私网IP地址不能在公网上使用。
1.2 优缺点:
优点:节省IP地址空间;解决IP地址重叠问题;增加网络的连入Internet弹性;减少重编址的麻烦;对外隐藏内部地址,增加网络安全性。
缺点:增加转发延迟;丧失端到端的寻址能力;某些应用不支持NAT。
1.3 静态NAT(内外网可以互相ping通)
? 服务场景:内网中存在需要对外网提供服务的服务器。
? 一对一映射
1.4 动态NAT(内网ping通外网,外网ping不通内网)
? 一个地址池对一内网IP(相当于一对一映射)
? 该方式的NAT不会对数据报头中的端口地址进行转换
1.5 PAT端口转换
? 多对一的映射(IP+端口)和四层协议端口号没关联。
? 多个内部本地地址共同享用一个公网地址
以上是关于ACL的主要内容,如果未能解决你的问题,请参考以下文章