目录
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
技术背景:ACL就是实现流量过滤的工具 中文名叫做访问控制列表
1.ACL是由一系列permit(允许)或deny(拒绝)语句组成的、有序(有次序的)规则的列表(列表代表在一个ACL中可以有多个规则)。
2.ACL是一个匹配工具,能够对报文进行匹配和区分。(匹配就是我们就ACL来对报文的特征做出个定义 ;区分就是识别的意思)
ACL应用
1.匹配IP流量
2.在Traffic-filter中被调用、
3.在NAT(Network Address Translation)中被调用
4.在路由策略中被调用
5.在防火墙的策略部署中被调用
6.在Qos中被调用
ACL由若干条permit或deny语句组成。每条语句就是改ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作
AR1:
sy //进入系统视图
[Huawei]int g0/0/0 //进入接口
[Huawei-GigabitEthernet0/0/0]ip add 1.1.1.1 24 //配置ip
[Huawei-GigabitEthernet0/0/0]q //退出
[Huawei]ping 1.1.1.2 //ping测试
PING 1.1.1.2: 56 data bytes, press CTRL_C to break
Reply from 1.1.1.2: bytes=56 Sequence=1 ttl=255 time=90 ms
Reply from 1.1.1.2: bytes=56 Sequence=2 ttl=255 time=10 ms
Reply from 1.1.1.2: bytes=56 Sequence=3 ttl=255 time=20 ms
Reply from 1.1.1.2: bytes=56 Sequence=4 ttl=255 time=20 ms
Reply from 1.1.1.2: bytes=56 Sequence=5 ttl=255 time=20 ms--- 1.1.1.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 10/32/90 ms[Huawei]sysname AR1
[AR1]
ping 1.1.1.2
PING 1.1.1.2: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out--- 1.1.1.2 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
AR2:
sy
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 1.1.1.2 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]sysname AR2
[AR2]acl 2000 //配置基础acl规则
[AR2-acl-basic-2000]rule deny source 1.1.1.1 0.0.0.0 //拒绝源报文ip
[AR2-acl-basic-2000]q //退出
[AR2]int g0/0/0 //进入接口
[AR2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 //应用流量过滤 acl2000 inbound方向入站
[AR2-GigabitEthernet0/0/0]q
[AR2]ping 1.1.1.1
PING 1.1.1.1: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out--- 1.1.1.1 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss[AR2]
拒绝所有放行指令
acl 2000
rule 4294967294 deny
规则编号
添加规则号指令
默认系统添加
rule permit source 1.1.1.3 0.0.0.0
手动添加
rule 10 permit source 1.1.1.3 0.0.0.0
格式 rule+编号+permit source 1.1.1.3 0.0.0.0
默认的配置号
acl 2000 match-order config //从小到大一次匹配
配置顺序
配置顺序,即系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。
●如果配置规则时指定了规则编号,则规则编号越小,规则插入位置越靠前,该规则越先被匹配。
●如果配置规则时未指定规则编号,则由系统自动为其分配一个编号。该编号是一个大于当前ACL内最大规则编号且是步长整数倍的最小整数数,因此该规则会被最后匹配。
自动排序
自动排序,是指系统使用“深度优先” 的原则,将规则按照精确度从高到低进行序,并按照精确度从高到低的顺序进行报文匹配。规则中定义的匹配项限制越严格,规则的精确度就越高,即优先级越高,系统越先匹配。
子网掩码:配置地址时,配置子网掩码
反掩码:OSPF配置用到的反掩码,255.255.255.255-子网掩码
0 代表匹配, 1 代表忽略
反掩码的0和1是连续的。
通配符掩码:ACL用到通配符掩码 0代表匹配 1 代表忽略 0和1可以不连续。
ACL IP ACL仅对IP报文进行过滤
报文匹配规则后立即按规则的动作处理,不在继续向下匹配规则。
匹配地址Bit多的规则尽量使用小规则号。
rule 10 deny 192:168.1.0 0.0.0.255
rule 5 permit 192.168.1.1 0.0.0.0
[R1-acl-basic-2000]rule permit source 192.168.1.1 0 time-range working
另一种定义方式:from 是绝对的开始时间结束时间
time-range test 9:00 to 17:30 1 6 // 周一周六的某一天的五点半
●eq port: 指定等于目的端口。
●gt port: 指定大于目的端口。
●It port:指定小于自的端口。
●range port-start port-end:指定源端口的范围。●port-star是端口范围的起始
●port-end是端口范围的结束。
●port-set port-set-name: 通过绑定端口集指定目的端口。
ACL的匹配位置
基本ACL 定义是源地址,尽量靠近源配置
高级ACL 尽量的靠近目的地配置