ACL（访问控制列表）

一、产生背景

　　企业网络中的设备进行通信时，需要保障数据传输的安全可靠和网络的性能稳定。

　　ACL可以通过定义规则来允许或拒绝流量的通过，从而保障数据传输的安全可靠和网络的性能稳定。　　

二、ACL概念以及如何实现

　　1、ACL概念：ACL是一张管理员手动添加的用于数据包访问控制的列表，路由器通过逐项读取列表中的条目来判断当前数据包是放行还是丢弃，是一个路由器数据处理数据包的行为规范手册。

　　访问控制列表可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、防止网络攻击等。

　　2、匹配和不匹配

　　　　针对某个网段的数据流量进行操作，匹配上了就执行，没有匹配上，就不执行控制列表内的内容。

　　　　ACL的对数据执行的动作 ：允许（permit）/拒绝（deny）---》 针对与流量

　　3、ACL的分类  (HUAWEI)

　　　　

　　4、ACL的实现

　　　　（1）确定部署位置

　　　　　　　　1.部署在流量的必经之路上

　　　　　　　　2.靠近源部署

　　　　　　　　3.集中化部署------->尽量少，而精细的部署ACL规则

　　　　　　

　　　　（2）匹配对应的流量

　　　　　　　　1.考虑对流量的允许 / 拒绝

　　　　　　　　2.考虑匹配到的网段 / 主机的IP地址

　　　　　　　　3. 0表示ACL在检查数据流量的时候：

　　　　　　　　　　　　0对应的位要检查；

　　　　　　　　　　　　1对应的位则不关心

　　　　

　　　　（3）决定调用的方向   （ACL的调用一定是在接口上调用的）

　　　　　　　　1.  in/ out 针对与 流量 进入  出 路由器的 行为

　　　　　　　　2.  观察流量 流经 接口的方式

　　　　　　　　3.  inbound 方向上调用，先调用ACL，在进行路由转发(对于未匹配上的流量，或者 拒绝的流量，则不进行路由转发)

　　　　　　　　　 outbound 方向上调用，先路由转发，在调用ACL (如果路由器根据路由表 找到数据的逃出接口，则在逃出接口上进行ACL的匹配)

　　　　　　

　　　　（4）测试

　　　　　　　　1.查看ACL的条目

　　　　　　　　2.查看ACL部署在哪一个接口上

　　　　　　　　3.查看部署的方向 in / out

　　　　　　

　　　　（5）删除全部ACL

　　　　　　

 

 　　　　（6）插入一条ACL

　　　　　　

　　　　（7）删除一条ACL

　　　　　　

 三、ACL的匹配规则

　　　　1、按序匹配   从上到下依次匹配，匹配立即停止(命中即生效)

　　　　2、黑白名单   白名单模式，只有匹配上的流量才能进行 permit/deny的操作

　　　　3、隐式拒绝 一个ACL启用，在不做任何配置的情况下，默认不允许任何数据通过

　　　　　　　　　　ACL最后的规则要设置一个 允许所有的流量通过

四、高级ACL

　　1、只能够对IP头中的源IP地址进行匹配

　　2、能够针对数据包的源、目的IP地址、协议类型、源目的端口号等元素进行匹配。

　　3、高级ACL的配置：

　　　　（1）使用编号创建一个高级ACL，并进入ACL视图

　　　　　　

　　　　（2）根据IP配置高级ACL规则　　　　　

 

　　　　(3)操作符的含义