计网实验之访问控制列表
Posted know-nothing
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了计网实验之访问控制列表相关的知识,希望对你有一定的参考价值。
基本概念
访问控制列表(Access Control Lists,ACL)利用包过滤技术,在路由器上读取第三层或者第四层包头中的信息,如源地址、目的地址、源端口、目的端口以及上层协议等,根据预先定义的规则决定哪些数据包可以接收、那些数据需要拒绝,从而达到访问控制的目的。
ACL是一组规则序列。在使用ACL时,一般时将预先定义好的ACL规则设置在路由器的接口上,对接口上进方向(in)或出方向(out)的数据包进行过滤。
ACL只能过滤经过路由器的数据包,对路由器本身所产生的数据包不起作用。
ACL的作用主要表现在两个方面:一方面保护资源节点,阻止非法用户对资源节点的访问;另一方面限制特定用户节点所能具备的访问权限。
- 检查过滤数据包
- 限制网络流量,提高网络性能
- 限制或减少路由更新内容
- 提供网络访问的基本安全级别
初期ACL仅仅应用在路由器上,目前已经扩展到三层交换机。
基本的访问控制列表又标准ACL,扩展ACL;
其他种类的ACL包括MAC扩展ACL,基于时间的ACL。
ACL匹配过程
ACL实际上是一系列判断语句的集合。当一个数据包进入路由器的某个端口时,路由器首先检查数据包是否可路由或可桥接,然后路由器检查是否在入站端口上应用ACL,如果没有应用,则将数据包送至目的端口。如果存在ACL,则会遍历ACL中的每一条规则,直到找到符合的规则或者遍历结束。所以ACL的顺序是非常重要的,可能会影响数据的转发效率。
配置ACL的基本原则
配置ACL的基本原则
- 最小特权原则。只给受控对象完成任务所必须的最小权限。
- 最靠近受控对象原则。检查ACL时采用自上而下的逐条检测,发现符合立即处理,并停止检测。
配置ACL需要注意的规则:
- 所有访问控制列表最后都存在一个隐含的全部拒绝的条件,所以在ACL中至少包含一条允许的语句。
- ACL的语句顺序决定了对数据包的控制顺序。
- ACL应按照一定的顺序进行配置,从特殊到一般配置,先拒绝特定主机,然后执行一般条件的过滤操作。
- 表中新的列表项总是加在ACL的最后。并且列表只能一次性删除,不能逐条删除。
- 没有任何定义的ACL可以允许所有数据。
- 配置ACL应先编辑好再加载至对应的进程上。
- 把最有限制性的语句放在ACL的首行或者靠前的位置,而
全部允许
或全部拒绝
放在最后。 - 删除列表后默认的全部拒绝规则会阻断该接口的所有数据流量。
不同ACL介绍
标准ACL只对源地址进行过滤,控制允许或者拒绝。
扩展ACL比标准ACL更常用。扩展ACL即可检查分组的源地址和目的地址,也可以检查协议类型和TCP(UDP)的端口号,还可以拒绝或允许协议集中的某些协议。使用扩展ACL可以实现更加精确的流量控制。
MAC扩展访问控制列表的工作过程与扩展ACL类似,只是其匹配MAC地址进行控制。MAC扩展ACL可根据数据包的源MAC地址、目的MAC地址、以太网协议类型设置过滤,进行控制。MAC扩展ACL可以利用编号或者名称进行标识,编号的取值范围是700~799。
基于时间的ACL是在各种ACL规则的基础上增加时间段的应用规则,以实现基于时间段的访问控制。只有配置了时间段的规则才会在指定的时间段内生效,其他时间段的规则不受影响。
基于时间的ACL由两部分组成
- 定义时间段
- 用于扩展ACL定义规则
以上是关于计网实验之访问控制列表的主要内容,如果未能解决你的问题,请参考以下文章
Packet Tracer 5.2实验(十三) 扩展IP访问控制列表配置
愿一切都那么简单 频分,时分,波分,码分以及四个随机访问介质访问控制协议计网