计网实验之访问控制列表

Posted 2021-12-23 know-nothing

基本概念

访问控制列表(Access Control Lists,ACL)利用包过滤技术,在路由器上读取第三层或者第四层包头中的信息，如源地址、目的地址、源端口、目的端口以及上层协议等，根据预先定义的规则决定哪些数据包可以接收、那些数据需要拒绝，从而达到访问控制的目的。

ACL是一组规则序列。在使用ACL时，一般时将预先定义好的ACL规则设置在路由器的接口上，对接口上进方向（in）或出方向（out）的数据包进行过滤。

ACL只能过滤经过路由器的数据包，对路由器本身所产生的数据包不起作用。

ACL的作用主要表现在两个方面：一方面保护资源节点，阻止非法用户对资源节点的访问；另一方面限制特定用户节点所能具备的访问权限。

• 检查过滤数据包
• 限制网络流量，提高网络性能
• 限制或减少路由更新内容
• 提供网络访问的基本安全级别

初期ACL仅仅应用在路由器上，目前已经扩展到三层交换机。

基本的访问控制列表又标准ACL，扩展ACL；

其他种类的ACL包括MAC扩展ACL，基于时间的ACL。

ACL匹配过程

ACL实际上是一系列判断语句的集合。当一个数据包进入路由器的某个端口时，路由器首先检查数据包是否可路由或可桥接，然后路由器检查是否在入站端口上应用ACL，如果没有应用，则将数据包送至目的端口。如果存在ACL，则会遍历ACL中的每一条规则，直到找到符合的规则或者遍历结束。所以ACL的顺序是非常重要的，可能会影响数据的转发效率。

配置ACL的基本原则

配置ACL的基本原则

• 最小特权原则。只给受控对象完成任务所必须的最小权限。
• 最靠近受控对象原则。检查ACL时采用自上而下的逐条检测，发现符合立即处理，并停止检测。

配置ACL需要注意的规则：

1. 所有访问控制列表最后都存在一个隐含的全部拒绝的条件，所以在ACL中至少包含一条允许的语句。
2. ACL的语句顺序决定了对数据包的控制顺序。
3. ACL应按照一定的顺序进行配置，从特殊到一般配置，先拒绝特定主机，然后执行一般条件的过滤操作。
4. 表中新的列表项总是加在ACL的最后。并且列表只能一次性删除，不能逐条删除。
5. 没有任何定义的ACL可以允许所有数据。
6. 配置ACL应先编辑好再加载至对应的进程上。
7. 把最有限制性的语句放在ACL的首行或者靠前的位置，而全部允许或全部拒绝放在最后。
8. 删除列表后默认的全部拒绝规则会阻断该接口的所有数据流量。

不同ACL介绍

标准ACL只对源地址进行过滤，控制允许或者拒绝。

扩展ACL比标准ACL更常用。扩展ACL即可检查分组的源地址和目的地址，也可以检查协议类型和TCP(UDP)的端口号，还可以拒绝或允许协议集中的某些协议。使用扩展ACL可以实现更加精确的流量控制。

MAC扩展访问控制列表的工作过程与扩展ACL类似，只是其匹配MAC地址进行控制。MAC扩展ACL可根据数据包的源MAC地址、目的MAC地址、以太网协议类型设置过滤，进行控制。MAC扩展ACL可以利用编号或者名称进行标识，编号的取值范围是700~799。

基于时间的ACL是在各种ACL规则的基础上增加时间段的应用规则，以实现基于时间段的访问控制。只有配置了时间段的规则才会在指定的时间段内生效，其他时间段的规则不受影响。

基于时间的ACL由两部分组成

• 定义时间段
• 用于扩展ACL定义规则