華為路由交換課程筆記14-ACL
阿新 • • 發佈:2018-12-14
一、簡介
1、ACL(Access Control List)訪問控制列表可以定義一系列不同的規則,裝置根據這些規則對資料包進行分類,並針對不同型別的報文進行不同的處理,從而實現對網路訪問行為的控制、限制網路流量、提高網路效能、防止網路攻擊等待。
2、ACL可以通過定義規則來允許或拒絕流量的通過,可以根據需求來定義過濾的條件已經匹配條件後所執行的動作。
分類 |
編號範圍 |
引數 |
基本ACL |
2000-2999 |
源IP地址 |
高階ACL |
3000-3999 |
源IP地址、目的IP地址、源埠、目的埠等 |
二層ACL |
4000-4999 |
源MAC地址、目的MAC地址、以太幀協議型別等 |
3、每個ACL可以可以包含多個規則,RTA根據規則來對資料流量進行過濾,Rule-id用於決定規則的優先順序,處理規則之間的重複或者矛盾。如果不匹配,則匹配下一條,一旦找到一條匹配的規則,則執行規則中定義的動作,並不再繼續與後續規則進行匹配,如果找不到匹配的規則,則裝置不對報文進行任何處理。
二、基本ACL配置
基本ACL儘量配置在靠近目的的埠位置
相關命令示例:
acl 2000 //設定編號,也可以直接命名,但需要指定為基本型別,如acl name test basic,其中basic表示基本型別 rule deny source 192.168.1.0 0.0.0.255 //拒絕192.168.1.0/24網段的源主機訪問,rule-id自動為5,間隔預設為5,也可以在rule後面手動指定。 int g0/0/0 traffic-filter outboud acl 2000 //在端口出方向上繫結ACL,阻止來自192.168.1.0/24網段的主機資訊從該埠發出。 display acl all //檢視ACL display acl 2000 display traffic-filter applied-record //檢視ACL繫結記錄 acl 2001 rule 5 permit source 192.168.100.0 0.0.0.255 //允許192.168.100.0/24網段主機訪問 rule 10 deny source any //拒絕任意網段主機訪問 user-interface vty 0 4 acl 2001 inbound //在使用者介面下,對登入繫結ACL,只允許 192.168.100.0/24網段的主機遠端登入。
三、高階ACL配置
高階ACL能夠根據源/目的IP地址、源/目的埠號、網路層及傳輸層協議以及IP流量分類和TCP標記值等各種引數(SYN|ACK|FIN等)進行報文過濾。高階ACL儘量配置在靠近源的埠位置。
相關命令示例:
acl 3000 //設定編號,也可以使用命名,如acl name test advance rule deny tcp source 192.168.1.1 0 destination 172.16.10.1 0 destination-port eq ftp //拒絕192.168.1.1主機訪問172.16.10.1的ftp埠 int g0/0/1 traffic-filter inbound acl 3000
ACL應用-NAT
nat address-group 1 202.100.1.100 202.100.1.110 //建立NAT地址池
nat address-group 2 202.100.1.111 202.100.1.120
acl 2000 //建立ACL用於指定源地址
rule 5 permit source 192.168.1.0 0.0.0.255
acl 2001
rule 5 permit source 192.168.2.0 0.0.0.255
int g0/0/1
nat outbound 2000 address-group 1 //在埠下,將地址池和ACL繫結實現NAT轉換,這是預設的埠轉換
nat outbound 2001 address-group 2