访问控制列表 ACL

一、ACL概述

  访问控制列表(Access Control Lists,ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表由一系列permit或deny语句组成的,有序规则的列表,它可以根据源地址、目的地址、协议端口号等特定条件来设定

  ACL用于匹配和区分报文,而无法实现对报文的过滤,针对ACL所匹配的报文过滤,需要配合特定的功能来调用,ACL只是一个匹配报文的工具。

  

二、ACL的功能

  (1)过滤IP流量(可根据源IP地址、目的IP地址、协议类型、端口号等元素)

  (2)在NAT中调用

  (3)在路由策略中调用

  (4)在VPN中调用

  (5)在防火墙中部署调用

  (6)在Qos中调用

 

三、标识访问控制列表

  (1)利用数字标识访问控制列表

  (2)利用名称标识访问控制列表

 

 四、访问控制列表的种类

  (1)基本访问控制列表:

    Basic ACL:2000-2999

    只能够对IP头中的源IP地址进行匹配。

  (2)高级访问控制列表:

    Advanced ACL:3000-3999

    能针对数据包的源IP地址、目的IP地址、协议类型、源目的端口号等元素进行匹配。

  (3)二层访问控制列表

    L2 ACL:4000-4999

 

五、ACL的匹配顺序

  例如:  

    acl XXX

      Rule 5 (permit/deny) 匹配条件

      Rule 10 (permit/deny)  匹配条件

        ... ...

      Rule N (permit/deny)  匹配条件

      末尾隐含 permit 或 deny any

  注:ACL的匹配顺序由上至下执行。如前面都是permit,未尾隐含deny;如前面都是deny,未尾隐含permit。

 

六、基本的ACL

  (1)使用编号创建一个基本ACL,进入ACL视图,ACL编号范围是 2000-2999

  [H3C] acl num

  [H3C-acl-basic-num]

  (2)创建一个rule

  [H3C-acl-basic-num] rule num {permit/deny} source src-address wildcard

  注:wildcard 是反掩码

 

七、高级ACL  

  (1)使用编号创建一个基本ACL,进入ACL视图,ACL编号范围是 3000-3999

  [H3C] acl num

  [H3C-acl-adv-num]

  (2)创建一个rule

  [H3C-acl-adv-num] rule num {permit/deny} ip source src-address wildcard destination dst-address wildcard

 

八、特殊的wildcard

  (1)精确匹配 192.168.1.1

    192.168.1.1 0.0.0.0 = 192.168.1.1

  (2)匹配所有IP any

    0.0.0.0 255.255.255.255 = any

  注:wildcard的规划是: 0 表示需要匹配,1表示无需匹配。

 

九、相关命令

  dis acl XXX            //查看ACL匹配的数据包

 

posted @   PBDragon  阅读(1269)  评论(0编辑  收藏  举报
编辑推荐:
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
阅读排行:
· 单线程的Redis速度为什么快?
· 展开说说关于C#中ORM框架的用法!
· Pantheons:用 TypeScript 打造主流大模型对话的一站式集成库
· SQL Server 2025 AI相关能力初探
· 为什么 退出登录 或 修改密码 无法使 token 失效
点击右上角即可分享
微信分享提示