ACL概述
又叫访问控制列表 用于数据流的匹配和筛选
ACL的常见功能
访问控制列表:ACL Packet-filter 用ACL搭配包过滤 路由控制:ACL Route-policy 用ACL将要匹配的数据提取出来,在配合路由策略在实现其他功能 流量控制:ACL QOS 用ACL将要匹配的数据提取出来,配置QOS策略做相关的操作
ACL的配置
ACL策略的应用方向很重要 对进出的数据包逐个检测,丢弃或者允许通过 包过滤必须配置在接口的某个方向上才能生效 接口的一个方向只能配置一个包过滤
ACL方向
入方向: 只对从外部进入的数据包做过滤 出方向: 只对从内部发出的数据包做过滤
包过滤的工作流程
根据规则递进查询,匹配规则看规则是允许还是拒绝,拒绝则丢弃,允许则放行 如果所有的都匹配完了还没有进行操作,则匹配最后的默认规则,是放行还是拒绝 [H3C] (包过滤)默认允许(其他拒绝) [Cisco] 默认拒绝
注意事项
如果默认规则是允许,至少要配置一项拒绝规则才有意义 如果默认规则是拒绝,则至少要配置一项允许规则才有意义 把小范围的规则往前靠 在不影响实际效果的前提下,把包过滤尽量配置在离原地址最近的接口的入方向
ACL的分类
【基本ACL】 只做简单规则,只对数据包的源地址进行匹配,例如大范围的策略控制 编号在2000-2999 【高级ACL】 会针对数据包的五元素进行精确匹配 1.源IP 2.目的IP 3.源端口 4.目的端口 5.协议(三层协议(UDP、TCP)) 编号在3000 - 3999
ACL的配置
代码语言:javascript复制acl basic [acl-number]
//创建基本ACL
acl advanced [acl-number]
//创建高级ACL
[基本ACL视图] rule [rule-id] permit/deny source [ip address] [wild-mask]
//创建 [rule-id]的规则,规则是允许/拒绝 源地址匹配 [ip address] [反网掩码匹配范围]
[高级ACL视图] rule [rule-id] permit/deny [protocol] source [ip address] [wild-mask] source-port [port] destination [ip address] [wild-mask] destination-port [eq/lt/gt/neq]
//创建[rule-id]的规则,规则是允许/拒绝 [协议/udp/tcp] 源地址为[ip address] [反网掩码匹配] 源端口[port] 目的地址 [ip address] [反网掩码匹配] 目的端口 [范围是eq(等于)gt(大于)lt(小于)neq(不等于)range(之间)]
[接口视图]packet-filter [acl-number] [inbound/outbound]
//在接口中应用ACL规则,配置在接口的入方向或者出方向
[系统视图] packet-filter default deny/permit
//更改默认动作为允许or拒绝
