ACL的原理与配置

已于 2025-04-01 20:53:23 修改
阅读量2.1k 收藏 14
点赞数 50
CC 4.0 BY-SA版权
分类专栏: 数通基础学习 文章标签: 笔记 华为 计算机网络
于 2024-11-24 23:59:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lulinhao/article/details/144016690

ACL技术概述

ACL;访问控制列表

技术背景:

园区重要服务器资源被随意访问,容易泄露机密,造成安全隐患

病毒侵入内网,安全性降低

网络宽带被各类业务随意挤占,服务质量要求高的宽带得不到保障,用户体验差

因此:需要由一个工具来指定一些规则,从而控制一些流量,保证网络安全

概述:

ACL是由Permi或者deny语句组成的一系列有顺序的规则的集合;

ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具;

ACL还能匹配路由条目

ACL的基本概念及其工作原理

ACL的组成:

ACL编号:每一个ACL都需要分配一个编号进行识别

规则:一条ACL通常由若干条”permit / deny"语句组成,每条语句就是该ACL的规则

规则编号:每条规则都由一个对应的编号,可以自定义,也可以系统分配,范围0-2的32次方,从大到小排列

动作:就是指允许(permit)和拒绝(deny)

匹配项:比如二层以太网帧头信息,三层报文信息等;

规则编号和步长:

规则编号:每条规则都有一个相应的编号,用来标识ACL规则。可以自定义,也可以系统自动分配

步长:编号之间的差值,用来预留空位用于后续的修改和添加新的规则

通配符:

通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特位需要严格匹配,哪些比特位无需匹配

通配符通常采用类似网络掩码的点分十进制形式表示,但是含义却与网络掩码完全不同

0 表示在这一位需要严格匹配地址,1 表示不关心,1 和 0是可以不连续的

当通配符全为0来匹配IP地址时,表示精确匹配某个IP地址

当通配符全为1来匹配0.0.0.0地址时,表示匹配了所有IP地址

ACL的分类;

基本ACL 2000~2999 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则

高级ACL 3000~3999 可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目 的端口号、UDP源/目的端口号、生效时间段等来定义规则

二层ACL 4000~4999 使用报文的以太网帧头信息来定义规则,如根据源MAC地址、目的MAC地址等

自定义ACL 5000~5999 使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则

用户ACL 6000~9999 既可使用IPv4报文的源IP地址或源UCL(User Control List)组,也可使用目的 IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源 端口/目的端口号等来定义规则

ACL的标识方法:

数字型:传统的方法,用唯一的数字标识

命名型:命名来标识

ACL的匹配机制:

配置ACL的设备接收到报文,会将报文逐一对ACL中的规则进行匹配,如果不能匹配,就匹配下一条规则

一旦匹配上,则进行处理,不再继续匹配

流程:

  1. 先检查设备是否配置了ACL

    如果ACL不存在,就返回结果为不匹配

    如果ACL存在,会检查设备是否配置了ACL规则

        2. 存在ACL的条件下

    如果规则不存在,返回结果为不匹配

    如果规则存在,将有三种情况

        3. 当匹配上permit规则,就停止匹配,返回结果为匹配;

    当匹配上deny规则,就停止匹配,返回结果为不匹配;

    一直没有匹配到对应的规则,就继续寻找匹配下一条,直到最后还没有匹配上,返回结果为不匹配

        4. 一旦命中,停止匹配

注意:ACL技术总是与其他技术结合在一起使用的,因此,所结合的技术不同,“允许 (permit)”及“拒绝 (deny)”的 内涵和作用也会不同。例如,当ACL技术与流量过滤技术结合使用时,permit就是“允许通行”的意思 deny 就是“拒绝通行”的意思

ACL的匹配顺便及匹配结果:

华为设备支持两种匹配顺序:自动排序和配置顺序(config模式)。默认的ACL匹配顺序是config模式

ACL的排序有些复杂,这里不再过多阐释,有兴趣可以查查资料

ACL的配置案例

案例

某公司通过Router实现各部门之间的互连。为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址。现要求Router能够限制两个网段之间互访,防止公司机密泄露

1.进入端口使用ip adress 先进配置

[Router] acl 3001

[Router-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[Router-acl-adv-3001] quit

[Router] acl 3002

[Router-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[Router-acl-adv-3002] quit

[Router] interface GigabitEthernet 0/0/1

[Router-GigabitEthernet0/0/1] traffic-filter inbound acl 3001

[Router-GigabitEthernet0/0/1] quit

[Router] interface GigabitEthernet 0/0/2

[Router-GigabitEthernet0/0/2] traffic-filter inbound acl 3002

[Router-GigabitEthernet0/0/2] quit

我们设置一个对比组,该组不配置ACL,可以清晰得看见,在配置之前,两个网段之间的PC机是能够互相通信的,再配置ACL后,不能再继续通信

 

 流量控制成功,两个部分不能互访

ACL原理配置
m0_73955207的博客
11-15 1238
ACL原理配置
ACL--访问控制列表概述、组成、分类、应用
weixin_65685029的博客
01-26 3279
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。通过ACL来对报文进行过滤,可以根据业务需求来对这些报文进行允许或阻止的策略。ACL概述、ACL的组成、ACL分类、基于标准ACL和基础的高级ACL应用、基于端口的ACL
ACL原理配置ACL原理
10-17
ACL原理配置ACL原理)中兴售后工程师认证培训资料
ACL配置应用
Fanmeang的博客
06-02 1051
通过前面章节的学习我们已经知道,针对不同的业务模块,匹配的ACL规则的不同情形,结果则可能完全不同,故我们在配置ACL规则时需要遵循一定的规则,具体如下。 如果配置ACL规则存在包含关系,应注意严格条件的规则编号需要排序靠前,宽松条件的规则编号需要排序靠后,避免报文因先命中宽松条件的规则而停止往下据徐匹配,从而使其无法命中严格条件的规则。(大家也可以理解为要把命中范围比较大的规则放在靠后的位置,需要精准匹配的规则放在靠前的位置) 根据各业务模块ACL默认动作的不同,ACL配置原则也不同。例如,在默认动
ACL基本原理
weixin_30772105的博客
05-22 664
访问控制列表(ACL)是应用在路由器接口的指令列表(即规则)。这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝。 访问控制列表(ACL)的工作原理 ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。 ACl是一组规则的集合,它应用在路由器的...
ACL原理以及配置
热门推荐
zy748539的博客
05-23 2万+
一.什么是ACL?   访问控制列表(Access Control list,ACL)是应用在路由器接口的指令列表(即规则)。它读取的是TCP/IP五层模型的第三层、第四层的报文头信息,根据预先定义好的规则对报文进行过滤。 IP数据报报头结构 TCP报头结构   ACL根据IP报头中的源地址、协议号、目标地址和TCP报头中的源端口、目标端口这5个元素来定义规则。 ACL的作用   ACL的作用是用于控制设备之间的数据包的互通。 二.ACL的类型 基本ACL   编号范围2000-2999   参数:
ACL的基本原理配置
ll945608651的博客
02-10 1万+
ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。ACL是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。
HCIA-ACL原理配置MD版本
最新发布
07-07
掌握ACL配置应用不仅可以有效防御恶意流量和攻击,还能优化网络性能,提升网络资源的利用效率。随着网络环境的日益复杂,ACL的高级应用也逐渐成为网络工程师进阶的方向之一。了解和熟练掌握ACL原理配置,...
12 ACL原理配置.pptx
07-08
12 ACL原理配置
ACL原理配置
qq_57093716的博客
12-15 624
了解ACL
ACL原理配置
zcien的博客
11-15 2348
ALC的原理配置,附实验
ACL配置
Ljw3187136228的博客
06-14 3155
一、引言随着网络技术的不断发展,网络安全问题日益突出。在网络通信中,访问控制列表(Access Control List,简称ACL)作为一种重要的安全机制,被广泛应用于路由器、交换机、防火墙等网络设备中,用于控制数据包的访问权限,确保网络通信的安全性和可靠性。本文将对ACL配置进行详细介绍,包括ACL的基本原理、分类、配置方法、应用原则及注意事项等方面,旨在为读者提供一份全面、深入的ACL配置指南。二、ACL概述ACL是一种网络安全技术,用于控制数据包的访问权限。
计算机网络ACL原理配置
Z的博客
06-07 2673
ACL : 访问控制协议(访问控制列表)作用:1.用来对做访问控制2.其结合其他协议,匹配范围(传输层:tcp、udp);ACL可以控制协议的流量是否可以通过。总结:ACL为访问控制,其确定流量是否能通过;=====》如果通过,则放行数据包;如果不通过则直接丢弃。
acl配置
安静的一个人
07-18 4269
1 配置 基本acl配置案例 配置基本acl步骤 配置规则生效时间段 执行命令system-view,进入系统视图。 执行命令time-rangetime-name{start-timetoend-time{days} &<1-7> |fromtime1date1[totime2date2] },创建一个时间段。 创建基本ACL 执行命令acl{ [n...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值