• ACL原理与配置(一、前言 二、ACL概述 三、ACL的组成实验演示通配符(1)通配符(2) ACL的分类与标识ACL基本配置 ACL高级配置​编辑)


    目录

    一、前言

    二、ACL概述

     三、ACL的组成

    实验演示

    通配符(1)

    通配符(2)

     ACL的分类与标识

    ACL基本配置

     ACL高级配置​编辑

    一、前言

    ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。

    技术背景:ACL就是实现流量过滤的工具 中文名叫做访问控制列表

    二、ACL概述

    1.ACL是由一系列permit(允许)或deny(拒绝)语句组成的、有序(有次序的)规则的列表(列表代表在一个ACL中可以有多个规则)。

     2.ACL是一个匹配工具,能够对报文进行匹配和区分。(匹配就是我们就ACL来对报文的特征做出个定义 ;区分就是识别的意思)

    ACL应用

    1.匹配IP流量

    2.在Traffic-filter中被调用、

    3.在NAT(Network Address Translation)中被调用

    4.在路由策略中被调用

    5.在防火墙的策略部署中被调用

    6.在Qos中被调用

     三、ACL的组成

    ACL由若干条permit或deny语句组成。每条语句就是改ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作

    实验演示

    AR1:

    sy                        //进入系统视图
    [Huawei]int g0/0/0                //进入接口
    [Huawei-GigabitEthernet0/0/0]ip add 1.1.1.1 24        //配置ip
    [Huawei-GigabitEthernet0/0/0]q        //退出
    [Huawei]ping 1.1.1.2                       //ping测试
      PING 1.1.1.2: 56  data bytes, press CTRL_C to break
        Reply from 1.1.1.2: bytes=56 Sequence=1 ttl=255 time=90 ms
        Reply from 1.1.1.2: bytes=56 Sequence=2 ttl=255 time=10 ms
        Reply from 1.1.1.2: bytes=56 Sequence=3 ttl=255 time=20 ms
        Reply from 1.1.1.2: bytes=56 Sequence=4 ttl=255 time=20 ms
        Reply from 1.1.1.2: bytes=56 Sequence=5 ttl=255 time=20 ms

      --- 1.1.1.2 ping statistics ---
        5 packet(s) transmitted
        5 packet(s) received
        0.00% packet loss
        round-trip min/avg/max = 10/32/90 ms

    [Huawei]sysname AR1
    [AR1]

    ping 1.1.1.2
      PING 1.1.1.2: 56  data bytes, press CTRL_C to break
        Request time out
        Request time out
        Request time out
        Request time out
        Request time out

      --- 1.1.1.2 ping statistics ---
        5 packet(s) transmitted
        0 packet(s) received
        100.00% packet loss

    AR2:

    sy
    [Huawei]int g0/0/0
    [Huawei-GigabitEthernet0/0/0]ip add 1.1.1.2 24
    [Huawei-GigabitEthernet0/0/0]q
    [Huawei]sysname AR2
    [AR2]acl 2000                //配置基础acl规则
    [AR2-acl-basic-2000]rule deny source 1.1.1.1 0.0.0.0         //拒绝源报文ip
    [AR2-acl-basic-2000]q        //退出
    [AR2]int g0/0/0                //进入接口
    [AR2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000        //应用流量过滤 acl2000 inbound方向入站
    [AR2-GigabitEthernet0/0/0]q
    [AR2]ping 1.1.1.1
      PING 1.1.1.1: 56  data bytes, press CTRL_C to break
        Request time out
        Request time out
        Request time out
        Request time out
        Request time out

      --- 1.1.1.1 ping statistics ---
        5 packet(s) transmitted
        0 packet(s) received
        100.00% packet loss

    [AR2]
     

     拒绝所有放行指令

    acl 2000

    rule 4294967294 deny

     规则编号

    添加规则号指令

     默认系统添加

    rule permit source 1.1.1.3 0.0.0.0

    手动添加

    rule 10 permit source 1.1.1.3 0.0.0.0

    格式 rule+编号+permit source 1.1.1.3 0.0.0.0

    默认的配置号

    acl 2000 match-order config                //从小到大一次匹配

    配置顺序
    配置顺序,即系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。
    ●如果配置规则时指定了规则编号,则规则编号越小,规则插入位置越靠前,该规则越先被匹配。
    ●如果配置规则时未指定规则编号,则由系统自动为其分配一个编号。该编号是一个大于当前ACL内最大规则编号且是步长整数倍的最小整数数,因此该规则会被最后匹配。
    自动排序
    自动排序,是指系统使用“深度优先” 的原则,将规则按照精确度从高到低进行序,并按照精确度从高到低的顺序进行报文匹配。规则中定义的匹配项限制越严格,规则的精确度就越高,即优先级越高,系统越先匹配。

    通配符(1)

    子网掩码:配置地址时,配置子网掩码

    反掩码:OSPF配置用到的反掩码,255.255.255.255-子网掩码 

                                                              0 代表匹配, 1 代表忽略

                                                                 反掩码的0和1是连续的。

    通配符掩码:ACL用到通配符掩码     0代表匹配 1 代表忽略 0和1可以不连续。

     ACL IP ACL仅对IP报文进行过滤

     报文匹配规则后立即按规则的动作处理,不在继续向下匹配规则。
    匹配地址Bit多的规则尽量使用小规则号。

    rule 10 deny 192:168.1.0 0.0.0.255
    rule 5 permit 192.168.1.1 0.0.0.0
     

    通配符(2)

     ACL的分类与标识

     [R1-acl-basic-2000]rule permit source 192.168.1.1 0 time-range working

    另一种定义方式:from 是绝对的开始时间结束时间

    time-range test 9:00 to 17:30 1 6        // 周一周六的某一天的五点半

    ●eq port: 指定等于目的端口。
    ●gt port: 指定大于目的端口。
    ●It port:指定小于自的端口。
    ●range port-start port-end:指定源端口的范围。

    ●port-star是端口范围的起始

    ●port-end是端口范围的结束。
    ●port-set port-set-name: 通过绑定端口集指定目的端口。

    ACL的匹配位置

    ACL基本配置

     ACL高级配置

    基本ACL 定义是源地址,尽量靠近源配置

    高级ACL 尽量的靠近目的地配置

  • 相关阅读:
    JS Set方法
    1.2. HASH POINTERS AND DATA STRUCTURES哈希指针及数据结构
    Unity --- 场景/场景管理类 与 异步场景加载法
    小笔记:03-jquery-对前端option的一些操作
    简单的前端语言
    git常用命令
    DSA8300 泰克 Tektronix 数字采样示波器 简述
    maven下载与配置
    [NSSCTF]-Reverse:[HUBUCTF 2022 新生赛]simple_RE(base64换表)
    Ansible之playbooks剧本
  • 原文地址:https://blog.csdn.net/qq_53235556/article/details/126885143