ACL原理
ACL原理
1、ACL概述
- 访问控制列表ACL是由一系列permit或deny语句组成的、有序规则的列表,它通过匹配报文的信息实现对报文的分类。
- ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能,针对ACL所匹配的报文的过滤功能,需要特定的机制来实现,ACL只是一个匹配用的工具而已。
- ACL除了能够对报文进行匹配,还能够用于匹配路由。
- ACL是一个使用非常广泛的基础性工具。
2、ACL的应用
- 过滤ip流量(可基于源、目的IP地址,协议类型,端口号等元素)
- 在NAT中调用
- 在路由策略中调用
- 在VPN中调用
- 在防火墙的策略部署中调用
- 在Qos中被调用
3、什么是ACL
- ACL能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具;ACL还能够用于匹配路由条目
4、如何标识访问控制列表?
- 利用数字标识访问控制列表
- 利用名称标识访问控制列表
| 列表的种类 | 数字标识的范围 |
|---|---|
| Basic ACL | 2000-2999 |
| Advanced ACL | 3000-3999 |
5、ACL的分类
a、基本的访问控制列表
- 只能够对IP头中源IP地址进行匹配
b、高级的访问控制列表
- 能够针对一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素进行匹配
6、ACL的匹配顺序
acl xxx
Rule 5 (permit/deny)匹配条件
Rule 10 (permit/deny)匹配条件
...
Rule N (permit/deny)匹配条件
末尾隐含 permit any
7、ACL的配置:基本ACL
- 使用编号创建一个基本ACL,并进入ACL视图
[Huawei] acl num
[Huawei-acl-basic-num]
基本的ACL编号范围是2000-2999 - 创建一个rule
[Huawei-acl-basic-num] rule 5 {permit/deny} soure src-address wildcard(反掩码:0表示需要匹配,1表示无所谓) - 然后在接口下调用
[Huawei] intface G 0/0/0
[Huawei-GigabitEthernet 0/0/0] traffic-filter inbound/outbound acl 2000
acl 2000
rule 1 permit soure 192.168.1.1 0.0.0.0
rule 2 permit soure 192.168.1.2 0.0.0.0
rule 3 permit soure 192.168.1.3 0.0.0.0
rule 4 deny 0.0.0.0 255.255.255.255
注意:成功抓取192.168.1.1/2/3 的流量
8、ACL的配置:高级ACL
- 使用编号创建一个高级ACL,并进入ACL视图
[Huawei] acl num
[Huawei-acl-adv-num]
基本的ACL编号范围是3000-3999 - 根据IP配置高级ACL规则
[Huawei-acl-adv-num] rule 5 {permit/deny} {TCP/UDP/等等} ip source src-address wildcard destination dst-address wildcard
除了IP协议外,高级ACL还能根据IP承载的上层协议信息进行匹配,例如TCP、UDP、ICMP等等 - 在接口上调用
[Huawei] intface G 0/0/0
[Huawei-GigabitEthernet 0/0/0] traffic-filter inbound/outbound acl 3000
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· DeepSeek 开源周回顾「GitHub 热点速览」
· 记一次.NET内存居高不下排查解决与启示
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· .NET10 - 预览版1新功能体验(一)