欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  数据库

理解IP ACL

程序员文章站 2022-05-26 08:34:50
...

一、为什么需要ACL ACL(Access Control List,访问控制列表),作用于路由器接口,用于路由器/交换机接口所通过的数据包过滤,以满足流量过滤和安全性需要! 在通常情况下,对路由器配置了某个接口路由规则后,所有经过该接口的流量均按相同的规则处理,但

一、为什么需要ACL

ACL(Access Control List,访问控制列表),作用于路由器接口,用于路由器/交换机接口所通过的数据包过滤,以满足流量过滤和安全性需要!

在通常情况下,对路由器配置了某个接口路由规则后,所有经过该接口的流量均按相同的规则处理,但有时为了安全性需要或某些其它原因,需要对接口的流量进行选择性过滤。只允许某些IP地址范围的流量通过该接口,其它IP地址的流量禁止通过。ACL正是IOS为解决类似这种接口之间的流量控制需求所提供的一个重要特征。


二、ACL的本质

实际上ACL是通过编号或名称组成的一组命令集合,用于过滤进入或离开接口的流量,从而提高网络安全性。

在ACL命令集合中,每一条命令都明确定义了满足条件的流量是允许还是拒绝。


三、ACL分类

ACL可以分为编号型ACL/命名型ACL,每一种类型又可细分为标准型和扩展型。

编号型ACL和命名型ACL区别仅在于路由器如何引用,编号型ACL按数字编号来引用,命名型ACL按名称来由路由器引用。

标准型与扩展型的区别在于

1、标准型的编号范围与扩展型编号范围不一样。标准型编号范围是:1~99,1300~1999,扩展型编号范围是:100-199,2000~2699.

2、标准型ACL只允许根据源IP地址进行过滤,而扩展型ACL不仅可以根据源IP地址进行过滤,而且还可以根据目的IP地址、源/目的端口号、协议类型过滤流量。


四、ACL处理规则

前面已经说过,ACL本质是一组通过编号或名称组合而成的一组命令,IOS在执行ACL时,永远是按自上到下的顺序来执行,也就是先执行第一条ACL语句,比较是否匹配。如果匹配,结束ACL。如果不匹配,继续执行下一条语句,直至匹配成功结束执行或者执行完所有ACL直至丢弃该分组。

因为ACL上述的既定处理规则,导致在编写ACL时,需要注意几点:

1、ACL命令组合顺序很重要,尽量将精确规则放前、概括性规则放在后面

2、ACL自上向下执行所有命令后,如果没有匹配的规则,路由器将丢弃该数据分组。这种特征称之为ACL隐式拒绝。

3、空的ACL实际将允许所有流量。


五、通配符掩码

参见链接:ACL通配符掩码


六、ACL语法说明

编号型ACL的用法可分为两步

1、全局配置模式下通过access-list命令定义ACL

2、在接口配置模式下通过access-group命令将接口与ACL绑定

编号型标准ACL:

语法:access-list number {permit|deny} source-address source-mask [log]

其中:access-list关键字必须使用

number必须指定,number为具体编号,取值范围为:1~99,1300~19999

permit|deny必须指定,明确指定是允许或禁止

source-addrss为源IP地址,必须指定

source-mask为源地址掩码,可选参数。不指定等于0.0.0.0,表示匹配指定的源IP地址。如指定掩码,则表示源IP地址中哪个部分需匹配。

log参数可选,用于定期产生日志信息,列出ACL被匹配次数


编号型扩展ACL:

编号型扩展ACL与编号型标准ACL之间区别在于:

扩展ACL与标准ACL的编号范围不同,扩展ACL编号范围是:100-199,2000~2699

扩展ACL除了象标准ACL一样,可以按源IP地址匹配外,还可以根据目的IP地址、源/目的端口号,传输层协议来进行过滤,过滤范围更广。

扩展ACL可以在一条access-list中检查多个规则,当一个命令列出多个规则后,数据包必须同时匹配所有规则。

命名型ACL配置步骤

1、在全局配置模式下使用ip access-list{standard|extended} ACL-name命令创建ACL

2、进入命名ACL配置模式,定义一系列permit|deny命令匹配规则

3、在接口配置模式下通过ip access-group命令将接口与ACL绑定


七、ACL使用实例

理解IP ACL

理解IP ACL



理解IP ACL

八、IOS中查看ACL命令

1、show running-config :同时显示已配置的ACL以及接口上激活的ACL

2、show access-lists:显示所有ACL的配置信息

3、show ip interface:列出接口的配置信息,包括ACL信息。

我儿子真帅!