计网实验之访问控制列表

Posted know-nothing

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了计网实验之访问控制列表相关的知识,希望对你有一定的参考价值。

基本概念

访问控制列表(Access Control Lists,ACL)利用包过滤技术,在路由器上读取第三层或者第四层包头中的信息,如源地址、目的地址、源端口、目的端口以及上层协议等,根据预先定义的规则决定哪些数据包可以接收、那些数据需要拒绝,从而达到访问控制的目的。

ACL是一组规则序列。在使用ACL时,一般时将预先定义好的ACL规则设置在路由器的接口上,对接口上进方向(in)或出方向(out)的数据包进行过滤。

ACL只能过滤经过路由器的数据包,对路由器本身所产生的数据包不起作用。

ACL的作用主要表现在两个方面:一方面保护资源节点,阻止非法用户对资源节点的访问;另一方面限制特定用户节点所能具备的访问权限。

  • 检查过滤数据包
  • 限制网络流量,提高网络性能
  • 限制或减少路由更新内容
  • 提供网络访问的基本安全级别

初期ACL仅仅应用在路由器上,目前已经扩展到三层交换机。

基本的访问控制列表又标准ACL,扩展ACL;

其他种类的ACL包括MAC扩展ACL,基于时间的ACL。

ACL匹配过程

ACL实际上是一系列判断语句的集合。当一个数据包进入路由器的某个端口时,路由器首先检查数据包是否可路由或可桥接,然后路由器检查是否在入站端口上应用ACL,如果没有应用,则将数据包送至目的端口。如果存在ACL,则会遍历ACL中的每一条规则,直到找到符合的规则或者遍历结束。所以ACL的顺序是非常重要的,可能会影响数据的转发效率。

配置ACL的基本原则

配置ACL的基本原则

  • 最小特权原则。只给受控对象完成任务所必须的最小权限。
  • 最靠近受控对象原则。检查ACL时采用自上而下的逐条检测,发现符合立即处理,并停止检测。

配置ACL需要注意的规则:

  1. 所有访问控制列表最后都存在一个隐含的全部拒绝的条件,所以在ACL中至少包含一条允许的语句。
  2. ACL的语句顺序决定了对数据包的控制顺序。
  3. ACL应按照一定的顺序进行配置,从特殊到一般配置,先拒绝特定主机,然后执行一般条件的过滤操作。
  4. 表中新的列表项总是加在ACL的最后。并且列表只能一次性删除,不能逐条删除。
  5. 没有任何定义的ACL可以允许所有数据。
  6. 配置ACL应先编辑好再加载至对应的进程上。
  7. 把最有限制性的语句放在ACL的首行或者靠前的位置,而全部允许全部拒绝放在最后。
  8. 删除列表后默认的全部拒绝规则会阻断该接口的所有数据流量。

不同ACL介绍

标准ACL只对源地址进行过滤,控制允许或者拒绝。

扩展ACL比标准ACL更常用。扩展ACL即可检查分组的源地址和目的地址,也可以检查协议类型和TCP(UDP)的端口号,还可以拒绝或允许协议集中的某些协议。使用扩展ACL可以实现更加精确的流量控制。

MAC扩展访问控制列表的工作过程与扩展ACL类似,只是其匹配MAC地址进行控制。MAC扩展ACL可根据数据包的源MAC地址、目的MAC地址、以太网协议类型设置过滤,进行控制。MAC扩展ACL可以利用编号或者名称进行标识,编号的取值范围是700~799。

基于时间的ACL是在各种ACL规则的基础上增加时间段的应用规则,以实现基于时间段的访问控制。只有配置了时间段的规则才会在指定的时间段内生效,其他时间段的规则不受影响。

基于时间的ACL由两部分组成

  • 定义时间段
  • 用于扩展ACL定义规则

以上是关于计网实验之访问控制列表的主要内容,如果未能解决你的问题,请参考以下文章

访问控制列表原理加实验

Packet Tracer 5.2实验(十三) 扩展IP访问控制列表配置

愿一切都那么简单 频分,时分,波分,码分以及四个随机访问介质访问控制协议计网

Cisco PT模拟实验(17) 路由器IP访问控制列表配置

ACL访问控制列表——标准IP访问列表(理论+实验)

路由实验-------标准访问控制列表