21 ACL_原理_规则_应用场景_类型_匹配规则_调用建议
21 ACL
标签(空格分隔):HCIA
ACL
Access Control List,访问控制列表
01ACl
第一代防火墙–包过滤防火墙
应用场景
02应用场景一
03应用场景二
工作原理
04ACl工作原理
- ACl由一条或多条规则组成
- 每条规则必须选择动作:允许或拒绝
- 每条规则都有一个ID***(默认=5,间隔=5)
- ***越小越先进行匹配
- 只要有一条规则和报文匹配,就停止查找,称为命中规则
查找完所有规则,如果没有符合条件的规则,称为未命中规则 - ACl创建后,必须将其应用到某个接口或其他技术内才会生效
- 应用在接口时必须选择方向:入站或出站(相对设备来判断)
- 不能过滤由设备自己产生的数据
ACL规则
05ACL规则
ACL类型 数字/命名
分为数字型和命名型ACL–等价的
06ACL类型
基本ACL/高级ACL/二层ACL
07ACL2000-4999
掩码,反掩码,通配符区别
08掩码,反掩码,通配符区别
1.1.1.0 0.0.0.255
1.1.1.x
acl通配符任意 1无所谓 0必须匹配
匹配奇偶数地址
09常见掩码匹配举例
ACL配置
| 命令 | 说明 |
|---|---|
| acl 2000 | 创建一个基本ACL |
| rule 5 deny/permit source 192.168.1.0 0.0.0.255 | 配置acl规则:拒绝或允许源地址为192.168.1.0/24网段内的所有流量 |
| acl 3000 | 创建一个高级ACL |
| rule 5deny/permit tcp source 192.168.1.0 0.0.0.255 destination 8.8.8.8 0 destination-port eq 80 | 配置ACL的规则:拒绝或允许源地址为:192.168.1.0/24网段内到8.8.8.8的HTTP流量 |
| traffic-filter inbound/outbound acl 2000 | 在接口调用ACL过滤流量 |
| dis acl 2000 | 验证ACL |
| dis traffic-filter applied-record | 查看设备上(接口)所有基于ACL调用情况 |
10基本acl配置
11高级acl配置
ACL接口调用方向的建议
1.基本acl尽量调用在离目标最近的出站接口—避免一棒子打死所有
2.高级acl尽量调用在离源头最近的入站接口—节省链路带宽,资源
12ACL接口调用方向的建议
前言
企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定.
访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制,限制网络流量,提高网络性能,防止网络攻击等.