12. ACL原理与配置

发布于 2023-12-06  109 次阅读


ACL 技术概述

ACL 概述

- ACL 是由一系列 permit 或 deny 语句组成的、有序规则的列表

- ACL 是一个匹配工具,能对报文进行匹配和区分

ACL 应用

只是一个匹配工具
  • 匹配 IP 流量
  • 在 Traffic-filter 中被调用
  • 在 NAT 中被调用
  • 在路由策略中被调用
  • 在防火墙策略部署中被调用
  • 在 Qos 中被调用
  • 其它...

ACL 的基本概念及其工作原理

ACL 的组成

说明

  • ACL 由若干条 permit 或 deny 语句组成
  • 每条语句就是该 ACL 的一条规则
  • 每条语句中的 permit 或 deny 就是与这条规则相对应的处理动作

规则

  • rule
  • rule id
  • 越小优先级越高
  • deny/permit
  • source
  • 通配符
  • 32 比特长度的数值,用于指示 IP 地址中,哪些比特位需要严格匹配,哪些比特位无需匹配
  • 通常采用类似网络掩码的点分十进制来表示,但是含义却与网络掩码完全不同

ACL 的分类与标识

  • 基于 ACL 规则定义方式的分类
    • 基本 ACL
    • 高级 ACL
    • 二层 ACL
    • 用户自定义 ACK
    • 用户 ACL
  • 基于 ACL 标识方式的分类
    • 数字型 ACL
    • 命名型 ACL

ACL 的匹配顺序及匹配结果

配置顺序(config 模式)

ACL 配置的位置

  • Inbound
  • Outbound

ACL 的基础配置及应用

基本 ACL 的基础配置命令

案例:使用基本 ACL 过滤数据流量

  1. Router 已完成 IP 地址和路由的相关配置
  2. 在 Router 上创建基本 ACL,禁止 192.168.1.0/24 网段访问路由器网络
  3. 由于从接口 GE0/0/1 进入 Router,所以在接口 GE0/0/1 的入方向配置流量过滤

高级 ACL 的基础配置命令

  1. 创建高级 ACL
  2. 配置基本 ACL 的规则

案例:使用高级 ACL 限制不同网段的用户互访(1)

  1. Router 已完成 IP 地址和路由的相关配置
  2. 创建高级 ACL 3001 并配置 ACL 规则,拒绝研发部访问市场部的报文
  3. 创建高级 ACL 3002 并配置 ACL 规则,拒绝市场部访问研发部的报文
感谢阅读~
最后更新于 2023-12-06