ACL技术
ACL概述
ACL(access control list)访问控制列表。
ACL可以通过对网络中报文流的精确识别,与其它技术结合,达到控制网络访问、防止网络攻击、提高带宽利用率的目的(注:ACL总是要与其它技术结合使用)。
ACL是一个匹配工具,它通过匹配报文的相关字段对报文进行分类,如源目IP、源目端口、协议类型等,还能匹配一些路由条目。
ACL应用
1.匹配IP流量
2.在traffic-filter中被调用
3.在NAT中被调用
4.在路由策略中被调用
5.在防火墙策略中被调用
6.在QOS中被调用
7.其它调用
ACL分类
| 分类 | 编号 | 描述 |
| 基本ACL | 2000-2999 | 仅使用源IP、分片信息、生效时间来定义规则 |
| 高级ACL | 3000-3999 | 可使用源IP、目的IP、源端口、目的端口、IP协议类型、ICMP类型、生效时间等定义规则 |
| 二层ACL | 4000-4999 | 使用帧头信息来定义规则:如源/目MAC地址、二层协议类型等 |
| 用户自定义ACL | 5000-5999 | 使用报文头、偏移位置、字符串掩码、用户自定义字符串来定义规则 |
| 用户ACL | 6000-6999 | 可使用源/目IP地址或源/目UCL组、协议类型、端口等来定义规则 |
ACL匹配机制
1.将报文与ACL表中的规则逐条匹配(按照规则编号从小到大进行匹配)。
2.如果匹配中某条规则,则执行这条规则中定义的处理动作,并且不再继续匹配。
3.当遍历完ACL表中的所有规则条目后均没有命中,则为不匹配,执行缺省规则。
ACL的匹配位置
通常需要在设备接口的入方向(inbound)或者出方向(outbound)上调用ACL,进行流量匹配。
ACL配置举例
使用基本ACL过滤数据流量
[router]acl 2000 [router-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255 //通配符0.0.0.255(反掩码)0为匹配,1为任意。匹配网段,拒绝该网段流量通过。 [router-acl-basic-2000]rule permit source any //匹配任意流量,允许通过。 [router]interface GigabitEthernet 0/0/1 [router-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 //在接口入方向调用,流量匹配访问控制列表2000。注:traffic-filter过滤器只能应用在接口视图下。 [router-GigabitEthernet0/0/1]quit
使用高级ACL限制不同网段的用户互访
[router]acl 3001 [router-acl-adv-3001]rule deny ip soure 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 [router-acl-adv-3001]quit [router]acl 3002 [router-acl-adv-3002]rule deny ip soure 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 [router-acl-adv-3002]quit [router]interface GigabitEthernet 0/0/1 [router-GigabitEthernet0/0/1]traffic-filter inbound acl 3001 [router-GigabitEthernet0/0/1]quit [router]interface GigabitEthernet 0/0/2 [router-GigabitEthernet0/0/2]traffic-filter inbound acl 3002 [router-GigabitEthernet0/0/2]quit
