开启掘金成长之旅!这是我参与「掘金日新计划 · 12 月更文挑战」的第13天,点击查看活动详情
前言
学习数通知识,考证书~ 考证书,记笔记,记笔记~
ACL协议
企业网中的设备进行通信时,需要保证数据传输的安全可靠和网络的性能稳定
访问控制列表ACL (Access Control list)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。
ACL实际就是第一代防火墙 通过解析数据包中的源地址,目的地址,源端口,目的端口进行访问控制。
ACL的应用场景
- ACL可以通过定义规则来允许或者拒绝流量通过
- ACL 可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。例如VPN 路由策略等。
ACL的工作原理
- ALC编号,编号命名
acl 3000
acl name xxx
- ACL由一条或者多条规则组成
rule 5
- 每条规则必须选择动作:允许或者拒绝
permit
- 每条规则都有一个id序列号(默认=5,间隔=5)规则排序完全依赖于编号
- 序列号越小越先进行匹配
- 只要有一条规则和报文匹配,就停止查找,称为规则命中
- 查找完所有规则,如果没有符合条件的规则,则称为未命中规则
- ACL创建后,必须将其应用到某个接口或者其他技术内才能生效
- 应用在接口时必须选择方向,入站方向或者出站方向(相对设备来判断)
- 不能过滤由设备自身产生的数据或者流量
- 制定规则一定要先细后粗
ACL规则
acl 2000
rule 5 deny source 192.168.1.0 0.0.0.255
rule 10 deny source 192.168.2.0 0.0.0.255
rule 15 deny source 172.16.0.0 0.0.0.255
每条ACL可以包含多个规则,路由器根据规则来对数据流量进行过滤
ACL类型
- 基本ACL 编号范围 2000-2999 源IP地址等
- 高级ACL 编号范围 3000-3999 源IP地址,目的IP地址,源端口,目的端口等
- 二层ACL 编号范围 4000-4999 源MAC地址,目的MAC地址,
- 用户自定义ACL 编号范围 5000-5999
高级ACL包含基本ACL的所有需求
rule 1 permit <协议>
ACL描述
acl 2000
description xxx
正掩码、反掩码、通配符
- 正掩码,先1后0
- 反掩码,0必须匹配,1无需匹配
- 通配符,任意的1和0 0必须匹配,1无需匹配
例如
rule 20 permit source 4.4.4.4 0
# 源地址只能匹配一个地址 4.4.4.4
rule 25 deny source 192.168.1.0 0.0.0.255
# 源地址为一个网段,0必须匹配,而1无需匹配
rule 30 permit 192.168.0.1 0.0.0.254
# 匹配网段内奇数地址
rule 35 permit 192.168.0.0 0.0.0.254
# 匹配网段内偶数地址
rule permit so 0.0.0.0 255.255.255.255
或
rule permit any
ACL 配置
# 创建一个基本的acl
acl 2000
# 配置acl规则,拒绝或者允许源地址为192.168.1.0/24 网段内的所有流量
rule 5 deny/permit source 192.168.1.0 0.0.0.255
# 创建一个高级的acl
acl 3000
# 配置acl规则,拒绝或者允许源地址为192.168.1.0/24 网段内到8.8.8.8的HTTP流量
rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 8.8.8.8 0 destination-port eq 80
# 在接口调用ACL过滤流量
traffic-filter inbound/outbound acl 2000
# 验证ACL
display acl 2000
# 查看设备上所有基于ACL的调用情况
display traffic-filter applied-record
ACL 接口调用方向的建议
- 基本ACL尽量调用离目标最近的出站接口
- 高级ACL尽量调用在离源头最近的入站接口
