ACL
定义
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。
作用
1.对与服务资源的访问权限进行划分并且控制访问
2.用于隔离外部网络的访问,防范渗透攻击
3.用于对业务访问的控制
工作原理
- 首选系统会检查当前设备是否配置了ACL,如果没有配置,直接允许,否则,匹配ACL规则;
- 系统按照规则编号从小到大的顺序挨个匹配规则:
- 如果匹配上permit规则,则停止之后的规则匹配,并返回ACL匹配结果,为匹配,对数据包进行允许操作;
- 如果匹配上deny规则,则停止之后的规则匹配,并返回ACL匹配结果,为匹配,对数据包进行拒绝操作;
- 如果所有规则都为匹配上,则返回ACL匹配结果,为不匹配,对数据包进行拒绝操作;
分类
| 分类 | 适用的IP版本 | 规则定义描述 | 编号范围 |
|---|---|---|---|
| 基本ACL | IPv4 | 仅使用报文的源ip地址、分片信息和生效时间段信息来定义规则 | 2000~2999 |
| 高级ACL | IPv4 | 既可使用IPv4报文的源ip地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、生效时间段等来定义规则 | 3000~3999 |
| 二层ACL | IPv4|IPv6 | 使用报文的以太帧信息来定义规则,如果使用源MAC(Media Access Control)地址、目的MAC地址、二层协议类型等。 | 4000~4999 |
基本ACL
- 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。
- 编号取值范围:[2000,2999]
高级ACL
- 既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则(五元组:源IP、目标IP、源端口、目标端口、协议类型)。
- 编号取值范围:[3000,3999]
命令
#查看ACL
dis acl 编号
#创建ACL
acl 编号
#删除ACL
undo acl 编号
#添加基本ACL规则
rule [编号] 数据包处理方式 source IP地址 通配符子网掩码
#添加高级ACL规则
rule [编号] 数据包处理方式 协议 source 源IP 通配符子网掩码 source-port eq 源端口 destination 目标IP 通配符子网掩码 destination-port eq 目标端口
#将ACL规则应用到指定接口
int g编号
traffic-filter inbound|outbound acl 编号
#取消指定接口应用的ACL规则
undo traffic-filter inbound|outbound
