什么是ACL?有哪些分類?如何配置?
一、ACL的概述
ACL:訪問(wèn)控制列表
※是由一系列permit和deny語(yǔ)句組成的(后面跟著條件列表)、有序規(guī)則的列表,它通過(guò)匹配報(bào)文的相關(guān)信息實(shí)現(xiàn)對(duì)報(bào)文的分類;
※ACL本身只能夠用于報(bào)文的匹配和區(qū)分,而無(wú)法實(shí)現(xiàn)對(duì)報(bào)文的過(guò)濾功能(此功能側(cè)面可以說(shuō)明ACL可以提高網(wǎng)絡(luò)的安全性),針對(duì)AC所匹配的報(bào)文的過(guò)濾功能,需要特定的機(jī)制來(lái)實(shí)現(xiàn)(例如在交換機(jī)的接口上使用traffic-filter命令調(diào)令A(yù)CL來(lái)進(jìn)行報(bào)文過(guò)濾),ACL只是一個(gè)匹配用的工具;
※ACL除了能夠?qū)?bào)文進(jìn)行匹配,還能夠用于匹配路由;
※主要應(yīng)用于流量過(guò)濾,實(shí)際上是一條一條規(guī)則的集合,是一種工具,可以應(yīng)用在任何場(chǎng)合
二、ACL是什么
ACL能夠匹配一個(gè)IP數(shù)據(jù)包中的源IP地址、目的IP地址、協(xié)議類型、源目的端口等元素的基礎(chǔ)性工具;ACL還能夠用于匹配路由條目。說(shuō)了這么多,那么ACL到底是什么呢?下面就讓我們從ACL的配置深入了解它吧。
1、ACL的標(biāo)識(shí)種類
①:利用數(shù)字標(biāo)識(shí)
②:利用名稱標(biāo)識(shí)
具體分為以下四類
2、ACL的匹配順序
Rule:代表第一條,第二條
5:步長(zhǎng)
permit:允許
deny:拒絕
這里需要提一點(diǎn)的是,為什么一般rule 5步長(zhǎng)寫(xiě)5,而不是從1/2/3開(kāi)始,這個(gè)沒(méi)有固定的數(shù)字,以上圖舉例,如果說(shuō)步長(zhǎng)寫(xiě)5,臨時(shí)想在中間插入一個(gè)不允許訪問(wèn)192.168.1.4,就可以在中間插入,如果是rule1/2/3,就沒(méi)辦法中間插入。
3、ACL的配置
創(chuàng)建ACL:
aclnum編號(hào)范圍是2000~2999
創(chuàng)建一個(gè)規(guī)則
rule5(permit/deny)sourcesrc-addresswildcard source:源;wildcare:通配符
查看acl信息
displayaclnum
激活需進(jìn)出口接口:
traffic-filteroutbound/inboundaclnum outbound:出的流量接口;inbound:進(jìn)的流量接口
允許/不允許所有通過(guò)
rulepermit/denysourceany
4、wildcare:通配符
這里要說(shuō)明一個(gè)wildcare(通配符)的概念:
通配符是一個(gè)32比特長(zhǎng)度的數(shù)值,用于指示IP地址中,哪些比特為需要嚴(yán)格匹配,哪些比特位則無(wú)所謂
通配符通常采用類似網(wǎng)絡(luò)掩碼的點(diǎn)分十進(jìn)制形式表示,但是漢語(yǔ)卻與網(wǎng)絡(luò)掩碼完全不同
如上圖,0:表示需匹配;1:表示無(wú)所謂
再舉個(gè)通俗易懂的例子:
有兩個(gè)特殊的通配符
192.168.1.1 0.0.0.0 =192.168.1.1 0
0.0.0.0 255.255.255.255 = any
三、實(shí)驗(yàn)加深理解
1、實(shí)驗(yàn)要求:允許PC2通過(guò)數(shù)據(jù)
只有pc2可以訪問(wèn)
先配置網(wǎng)關(guān)
[Huawei]intg0/0/0 [Huawei-GigabitEthernet0/0/0]ipadd192.168.1.25424 [Huawei-GigabitEthernet0/0/0]intg0/0/1 [Huawei-GigabitEthernet0/0/1]ipadd192.168.2.25424 [Huawei-GigabitEthernet0/0/1]intg0/0/2 [Huawei-GigabitEthernet0/0/2]ipadd10.0.0.25424
先創(chuàng)建列表
[Huawei]acl2000
定義規(guī)則
ruledenysource192.168.1.00.0.0.255**阻擋1.0網(wǎng)段的所有訪問(wèn)**
查看acl 2000信息
[Huawei-acl-basic-2000]disacl2000
這時(shí)候是可以ping通的,配置了接口但是還沒(méi)有激活所以可以ping通
然后激活接口
[Huawei]intg0/0/2先進(jìn)要激活的接口
對(duì)于接口而言,有出的流量接口(outbound),也有進(jìn)的流量接口(inbound)
[Huawei-GigabitEthernet0/0/2]traffic-filteroutboundacl2000
然后查看下信息
這時(shí)候pc1就無(wú)法ping通了
pc2可以ping通
1.2實(shí)驗(yàn)一的基礎(chǔ)上發(fā)生更改,改為:僅允許1.0可以通過(guò)。
先斷掉之前配置的rule 5
創(chuàng)建acl
[Huawei]acl2000
允許192.168.1.0網(wǎng)段
[Huawei-acl-basic-2000]rulepermitsource192.168.1.00.0.0.255
阻斷所有網(wǎng)段
[Huawei-acl-basic-2000]ruledenysourceany
ping發(fā)現(xiàn)pc1可以ping通,pc2不可以
1.3、在實(shí)驗(yàn)一的基礎(chǔ)上,更改實(shí)驗(yàn)要求:若允許1.1可以ping通pc3,但是2.1不能ping通pc3。
在g0/0/2出接口配置outbound
創(chuàng)建acl
[Huawei]acl3000**有源有目標(biāo)地址,acl等級(jí)要3000**
允許源地址192.168.1.0訪問(wèn)目的地址10.0.0.1網(wǎng)段
[Huawei-acl-adv-3000]rulepermitipsource192.168.1.10destination10.0.0.10
不允許源地址192.168.2.0訪問(wèn)目的地址10.0.0.1網(wǎng)段
[Huawei-acl-adv-3000]ruledenyipsource192.168.2.10destination10.0.0.10
查看一下
然后激活acl 3000之前需要先詢關(guān)閉掉acl2000的
[Huawei-GigabitEthernet0/0/2]undotraffic-filteroutbound
進(jìn)入接口g0/0/2 ,激活acl 3000
[R1-acl-adv-3000]intg0/0/2 [Huawei-GigabitEthernet0/0/2]traffic-filteroutboundacl3000
達(dá)成結(jié)果,1.1可以ping通,1.2無(wú)法ping通
實(shí)驗(yàn)二、
①、首先實(shí)現(xiàn)全網(wǎng)互通
sw1 [Huawei]sysSW1 [SW1]vlanbatch1020 [SW1]inte0/0/1 [SW1-Ethernet0/0/1]pla [SW1-Ethernet0/0/1]pdv10 [SW1-Ethernet0/0/1]inte0/0/2 [SW1-Ethernet0/0/2]pla [SW1-Ethernet0/0/2]pdv20 [SW1-Ethernet0/0/2]inte0/0/3 [SW1-Ethernet0/0/3]pla [SW1-Ethernet0/0/3]pdv10 [SW1-Ethernet0/0/3]inte0/0/4 [SW1-Ethernet0/0/4]pla [SW1-Ethernet0/0/4]pdv20 [SW1-Ethernet0/0/4]inte0/0/5 [SW1-Ethernet0/0/5]plt [SW1-Ethernet0/0/5]ptava R1 [Huawei]sysR1 [R1]intg0/0/0.1 [R1-GigabitEthernet0/0/0.1]ipadd192.168.1.25424 [R1-GigabitEthernet0/0/0.1]dtv10 [R1-GigabitEthernet0/0/0.1]abe [R1-GigabitEthernet0/0/0.1]intg0/0/0.2 [R1-GigabitEthernet0/0/0.2]ipadd192.168.2.25424 [R1-GigabitEthernet0/0/0.2]dtv20 [R1-GigabitEthernet0/0/0.2]abe [R1]intg0/0/1 [R1-GigabitEthernet0/0/1]ipadd12.1.1.124 [R1]iproute-static0.0.0.00.0.0.012.1.1.2 R2 [R2]intg0/0/0 [R2-GigabitEthernet0/0/0]ipadd12.1.1.224 [R2-GigabitEthernet0/0/0]intg0/0/1 [R2-GigabitEthernet0/0/1]ipadd100.1.1.25424 [R2]iproute-static192.168.1.02412.1.1.1 [R2]iproute-static192.168.2.02412.1.1.1
全網(wǎng)ping通,實(shí)現(xiàn)全網(wǎng)互通
②、配置ACL使得vlan10和vlan20不通
阻止vlan10和vlan20,需要阻止192.168.10.0的方向
rulepermitsourceany:允許所有通過(guò) [R1]acl2000 [R1-acl-basic-2000]rulepermitsourceany [R1-GigabitEthernet0/0/0.2]traffic-filteroutboundacl2000
結(jié)果如下圖,已實(shí)現(xiàn)
③、配置ACL使R1不能訪問(wèn)webserver
[R1]acl3000 [R1-acl-adv-3000]ruledenytcpsource192.168.1.00.0.0.255destination10.1.1.2 0destination-porteq80
display acl 3000 查看一下配置是否正確
審核編輯:劉清
-
VLAN技術(shù)
+關(guān)注
關(guān)注
0文章
45瀏覽量
6530 -
ACL
+關(guān)注
關(guān)注
0文章
61瀏覽量
12354
原文標(biāo)題:什么是ACL?有哪些分類?如何配置?一文帶你了解!
文章出處:【微信號(hào):網(wǎng)絡(luò)技術(shù)干貨圈,微信公眾號(hào):網(wǎng)絡(luò)技術(shù)干貨圈】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
什么是接入控制表(ACL)
基于ACL的權(quán)限系統(tǒng)實(shí)現(xiàn)
ACL是什么?ACL有什么用?
ACL資源不足時(shí)該如何去優(yōu)化?
嵌入式軟件配置的分類
RTL8380M/RTL8382M管理型交換機(jī)系統(tǒng)軟件操作指南五:ACL/訪問(wèn)控制列表
一文詳解思科設(shè)備ACL與NAT技術(shù)
華為企業(yè)交換機(jī)ACL經(jīng)典案例
華為企業(yè)交換機(jī)ACL設(shè)置案例分析
訪問(wèn)控制列表什么?ACL的功能特點(diǎn)
工業(yè)級(jí)POE交換機(jī)的ACL
工商網(wǎng)監(jiān)
評(píng)論