# 中小型網絡構建-ACL
1、什麽是ACL?
訪問控制列表(Access Control List,ACL) 是路由器和交換機接口的指令列表,用來控制端口進出的數據包。
配置ACL後,可以限制網絡流量,允許特定設備訪問,指定轉發特定端口數據包等。
2、ACL的工作作用:
ACL可以限制網絡流量、提高網絡性能。例如,ACL可以根據數據包的協議,指定數據包的優先級。
ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量。
ACL是提供網絡安全訪問的基本手段。ACL允許主機A訪問人力資源網絡,而拒絕主機B訪問。
ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
3、執行過程
一個端口執行哪條ACL,這需要按照列表中的條件語句執行順序來判斷。如果一個數據包的報頭跟表中某個條件判斷語句相匹配,那麽後面的語進行檢句就將被忽略,不再查。
數據包只有在跟第一個判斷條件不匹配時,它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配(假設為允許發送),則不管是第一條還是最後一條語句,數據都會立即發送到目的接口。
1.當ACL中有多個條目的, 在進行匹配數據包的時候,是按照每個條目的序列號-rule number 從小到大開始匹配的, 一旦有一個條目匹配成功, 後續的條目就不看了; ACL最後有一個看不見的,允許所有的 ACL 條目; 1.在物理接口上,通過 traffic-filter in/out acl XXX 2.在虛擬接口上(user-interface vty xxx ) --- 通過 acl in/out acl XXX 調用的時候,默認動作是拒絕所有。
源IP地址 + 目標IP + 傳輸層協議 + 源端口 + 目標端口 192.168.1.3 -----> 192.168.23.3 : ping , NO 192.168.1.3 -----> 192.168.23.3 : telnet , YES 192.168.1.3 -----> 192.168.23.3 : ping , YES 192.168.1.3 -----> 192.168.23.3 : telnet , NO 綜合部:192.168.1.0/24 ------> 192.168.2.1/24 192.168.1.1/24 --- NO 192.168.1.2/24 192.168.1.3/24 --- NO 192.168.1.4/24 192.168.1.5/24 --- NO 192.168.1.6/24 192.168.1.7/24 --- NO 192.168.1.8/24 acl 3000 rule 10 deny icmp source 192.168.1.1 0.0.0.0 destination 192.168.2.1 0.0.0.0 rule 20 deny icmp source 192.168.1.3 0.0.0.0 destination 192.168.2.1 0.0.0.0 rule 30 deny icmp source 192.168.1.5 0.0.0.0 destination 192.168.2.1 0.0.0.0 rule 40 deny icmp source 192.168.1.7 0.0.0.0 destination 192.168.2.1 0.0.0.0
192.168.1.1--> 192.168.2.1
192.168.1.2--> 192.168.2.1
192.168.1.3--> 192.168.2.1
192.168.1.4--> 192.168.2.1
192.168.1.5--> 192.168.2.1
192.168.1.6--> 192.168.2.1
192.168.1.255--> 192.168.2.1
acl 3000
rule 10 deny icmp source 192.168.1.1 .............
destination 192.168.2.1 0.0.0.0
192.168.1.1 0000 0001
192.168.1.3 0000 0011
192.168.1.5 0000 0101
192.168.1.7 0000 0111
公共部分:
192.168.1. 0000 0XX1
當我們使用一個 ACL 條目同時匹配多個地址的時候,
我們需要做:
1. 確定多個地址的“公共部分”
# 相同的位,直接寫;
# 不同的位,變成0;
192.168.1.1
2. 確定與“公共部分”所對應的“通配符”
-通配符與公共IP地址,是一一對應的;
#在通配符中,與公共IP地址中不變的位對應的位置,
寫0;
#在通配符中,與公共IP地址中變的位對應的位置,
寫1;
192.168.1.1 0.0.0.6
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~`
高級ACL調用在距離源特別近的地方;
基本ACL調用在距離目標特別近的地方;
ACL類型:
基本ACL : 2000 ~ 2999
高級ACL : 3000 ~ 3999
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~`
ACL的作用:
控制流量的傳輸;
(基本ACL與高級ACL)- 華為
(標準ACL與擴展ACL)- 思科
ACL 與 NAT 的配合使用:
NAT
-定義
-作用
-類型
-配置
在虛擬端口下配置ACL。
[Huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
源
[r3-ui-vty0-4]acl 2000 inbound
1、什麽是ACL?
訪問控制列表(Access Control List,ACL) 是路由器和交換機接口的指令列表,用來控制端口進出的數據包。
配置ACL後,可以限制網絡流量,允許特定設備訪問,指定轉發特定端口數據包等。
2、ACL的工作作用:
ACL可以限制網絡流量、提高網絡性能。例如,ACL可以根據數據包的協議,指定數據包的優先級。
ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量。
ACL是提供網絡安全訪問的基本手段。ACL允許主機A訪問人力資源網絡,而拒絕主機B訪問。
ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
例如:某部門要求只能使用 WWW 這個功能,就可以通過ACL實現; 又例如,為了某部門的保密性,不允許其訪問外網,也不允許外網訪問它,就可以通過ACL實現。
3、執行過程
一個端口執行哪條ACL,這需要按照列表中的條件語句執行順序來判斷。如果一個數據包的報頭跟表中某個條件判斷語句相匹配,那麽後面的語進行檢句就將被忽略,不再查。
數據包只有在跟第一個判斷條件不匹配時,它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配(假設為允許發送),則不管是第一條還是最後一條語句,數據都會立即發送到目的接口。
1.當ACL中有多個條目的,
在進行匹配數據包的時候,是按照每個條目的序列號-rule number
從小到大開始匹配的,
一旦有一個條目匹配成功,
後續的條目就不看了;
ACL最後有一個看不見的,允許所有的 ACL 條目;
1.在物理接口上,通過 traffic-filter in/out acl XXX
2.在虛擬接口上(user-interface vty xxx ) --- 通過
acl in/out acl XXX 調用的時候,默認動作是拒絕所有。
源IP地址 + 目標IP + 傳輸層協議 + 源端口 + 目標端口
192.168.1.3 -----> 192.168.23.3 : ping , NO
192.168.1.3 -----> 192.168.23.3 : telnet , YES
192.168.1.3 -----> 192.168.23.3 : ping , YES
192.168.1.3 -----> 192.168.23.3 : telnet , NO
綜合部:192.168.1.0/24 ------> 192.168.2.1/24
192.168.1.1/24 --- NO
192.168.1.2/24
192.168.1.3/24 --- NO
192.168.1.4/24
192.168.1.5/24 --- NO
192.168.1.6/24
192.168.1.7/24 --- NO
192.168.1.8/24
acl 3000
rule 10 deny icmp source 192.168.1.1 0.0.0.0
destination 192.168.2.1 0.0.0.0
rule 20 deny icmp source 192.168.1.3 0.0.0.0
destination 192.168.2.1 0.0.0.0
rule 30 deny icmp source 192.168.1.5 0.0.0.0
destination 192.168.2.1 0.0.0.0
rule 40 deny icmp source 192.168.1.7 0.0.0.0
destination 192.168.2.1 0.0.0.0
192.168.1.1--> 192.168.2.1
192.168.1.2--> 192.168.2.1
192.168.1.3--> 192.168.2.1
192.168.1.4--> 192.168.2.1
192.168.1.5--> 192.168.2.1
192.168.1.6--> 192.168.2.1
192.168.1.255--> 192.168.2.1
acl 3000
rule 10 deny icmp source 192.168.1.1 .............
destination 192.168.2.1 0.0.0.0
192.168.1.1 0000 0001
192.168.1.3 0000 0011
192.168.1.5 0000 0101
192.168.1.7 0000 0111
公共部分:
192.168.1. 0000 0XX1
當我們使用一個 ACL 條目同時匹配多個地址的時候,
我們需要做:
1. 確定多個地址的“公共部分”
# 相同的位,直接寫;
# 不同的位,變成0;
192.168.1.1
2. 確定與“公共部分”所對應的“通配符”
-通配符與公共IP地址,是一一對應的;
#在通配符中,與公共IP地址中不變的位對應的位置,
寫0;
#在通配符中,與公共IP地址中變的位對應的位置,
寫1;
192.168.1.1 0.0.0.6
~~~~~~~~~~`
高級ACL調用在距離源特別近的地方;
基本ACL調用在距離目標特別近的地方;
ACL類型:
基本ACL : 2000 ~ 2999
高級ACL : 3000 ~ 3999
~~~~~~~~~~~~~`
ACL的作用:
控制流量的傳輸;
(基本ACL與高級ACL)- 華為
(標準ACL與擴展ACL)- 思科
ACL 與 NAT 的配合使用:
NAT
-定義
-作用
-類型
-配置
在虛擬端口下配置ACL。
[Huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
源
[r3-ui-vty0-4]acl 2000 inbound
# 中小型網絡構建-ACL