访问控制列表 ACL
一、ACL概述
访问控制列表(Access Control Lists,ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表由一系列permit或deny语句组成的,有序规则的列表,它可以根据源地址、目的地址、协议端口号等特定条件来设定。
ACL用于匹配和区分报文,而无法实现对报文的过滤,针对ACL所匹配的报文过滤,需要配合特定的功能来调用,ACL只是一个匹配报文的工具。
二、ACL的功能
(1)过滤IP流量(可根据源IP地址、目的IP地址、协议类型、端口号等元素)
(2)在NAT中调用
(3)在路由策略中调用
(4)在VPN中调用
(5)在防火墙中部署调用
(6)在Qos中调用
三、标识访问控制列表
(1)利用数字标识访问控制列表
(2)利用名称标识访问控制列表
四、访问控制列表的种类
(1)基本访问控制列表:
Basic ACL:2000-2999
只能够对IP头中的源IP地址进行匹配。
(2)高级访问控制列表:
Advanced ACL:3000-3999
能针对数据包的源IP地址、目的IP地址、协议类型、源目的端口号等元素进行匹配。
(3)二层访问控制列表
L2 ACL:4000-4999
五、ACL的匹配顺序
例如:
acl XXX
Rule 5 (permit/deny) 匹配条件
Rule 10 (permit/deny) 匹配条件
... ...
Rule N (permit/deny) 匹配条件
末尾隐含 permit 或 deny any
注:ACL的匹配顺序由上至下执行。如前面都是permit,未尾隐含deny;如前面都是deny,未尾隐含permit。
六、基本的ACL
(1)使用编号创建一个基本ACL,进入ACL视图,ACL编号范围是 2000-2999
[H3C] acl num
[H3C-acl-basic-num]
(2)创建一个rule
[H3C-acl-basic-num] rule num {permit/deny} source src-address wildcard
注:wildcard 是反掩码
七、高级ACL
(1)使用编号创建一个基本ACL,进入ACL视图,ACL编号范围是 3000-3999
[H3C] acl num
[H3C-acl-adv-num]
(2)创建一个rule
[H3C-acl-adv-num] rule num {permit/deny} ip source src-address wildcard destination dst-address wildcard
八、特殊的wildcard
(1)精确匹配 192.168.1.1
192.168.1.1 0.0.0.0 = 192.168.1.1
(2)匹配所有IP any
0.0.0.0 255.255.255.255 = any
注:wildcard的规划是: 0 表示需要匹配,1表示无需匹配。
九、相关命令
dis acl XXX //查看ACL匹配的数据包
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 单线程的Redis速度为什么快?
· 展开说说关于C#中ORM框架的用法!
· Pantheons:用 TypeScript 打造主流大模型对话的一站式集成库
· SQL Server 2025 AI相关能力初探
· 为什么 退出登录 或 修改密码 无法使 token 失效