ACL 技术概述

ACL 概述

- ACL 是由一系列 permit 或 deny 语句组成的、有序规则的列表

- ACL 是一个匹配工具,能对报文进行匹配和区分

ACL 应用

只是一个匹配工具

  • 匹配 IP 流量

  • 在 Traffic-filter 中被调用

  • 在 NAT 中被调用

  • 在路由策略中被调用

  • 在防火墙策略部署中被调用

  • 在 Qos 中被调用

  • 其它...

ACL 的基本概念及其工作原理

ACL 的组成

说明

  • ACL 由若干条 permit 或 deny 语句组成

  • 每条语句就是该 ACL 的一条规则

  • 每条语句中的 permit 或 deny 就是与这条规则相对应的处理动作

规则

  • rule

  • rule id

  • 越小优先级越高

  • deny/permit

  • source

  • 通配符

  • 32 比特长度的数值,用于指示 IP 地址中,哪些比特位需要严格匹配,哪些比特位无需匹配

  • 通常采用类似网络掩码的点分十进制来表示,但是含义却与网络掩码完全不同

ACL 的分类与标识

  • 基于 ACL 规则定义方式的分类

    • 基本 ACL

    • 高级 ACL

    • 二层 ACL

    • 用户自定义 ACK

    • 用户 ACL

  • 基于 ACL 标识方式的分类

    • 数字型 ACL

    • 命名型 ACL

ACL 的匹配顺序及匹配结果

配置顺序(config 模式)

ACL 配置的位置

  • Inbound

  • Outbound

ACL 的基础配置及应用

基本 ACL 的基础配置命令

案例:使用基本 ACL 过滤数据流量

  1. Router 已完成 IP 地址和路由的相关配置

  2. 在 Router 上创建基本 ACL,禁止 192.168.1.0/24 网段访问路由器网络

  3. 由于从接口 GE0/0/1 进入 Router,所以在接口 GE0/0/1 的入方向配置流量过滤

高级 ACL 的基础配置命令

  1. 创建高级 ACL

  2. 配置基本 ACL 的规则

案例:使用高级 ACL 限制不同网段的用户互访(1)

  1. Router 已完成 IP 地址和路由的相关配置

  2. 创建高级 ACL 3001 并配置 ACL 规则,拒绝研发部访问市场部的报文

  3. 创建高级 ACL 3002 并配置 ACL 规则,拒绝市场部访问研发部的报文