ACL访问控制列表

目录:

  • ACL技术概述
  • ACL的基本概念及其工作原理

背景:

随着网络的飞速发展,网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。

ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。

本章将介绍ACL的基本原理和基本作用,ACL的不同种类及特点,ACL的基本组成和匹配顺序,通配符的使用方法和ACL的相关配置。

ACL技术概述

技术背景:需要一个工具,实现流量过滤

ACL访问控制列表_第1张图片

ACL——是一个匹配工具,能够对报文进行匹配和区分

              由一系列permit或derry语句组成的、有序规则的列表(每条语句就是该ACL的一条规则,每条语句中的permi或derry就是与这条规则相对应的处理动作)

ACL的应用(根据具体匹配的数据来看)

ACL访问控制列表_第2张图片

ACL的组成及规则编号

ACL访问控制列表_第3张图片

ACL访问控制列表_第4张图片

注: 默认省缺步长为5,可以自己修改(如修改为7,第一条如果为7,则之后的自动为14、21、28)

匹配规则(config模式):Rule ID规则编号先匹配编号小的

注意:ACL只负责挑数据(permit不一定指流量通过,在流量过滤里“允许”是指“允许流量通过”)

通配符(匹配IP)

—— 1、与子网掩码不同:“0”表示匹配,“1”表示随机分配

2、通配符中可以不连续

如:表示在192.10.10.3这个网段中的所有奇数

则表示为:         192.10.10.1            0.0.0.254

其中通配符 0.0.0.254 表示 192.10.10.???????1

ACL访问控制列表_第5张图片

ACL访问控制列表_第6张图片

ACL分类方法:

ACL访问控制列表_第7张图片

注:常见ACL的区别

编号范围

规则定义

基本ACL

2000~2999

仅使用报文的源I地址、分片信息和生效时间殷信息来定义规则。

高级ACL

3000~3999

可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。

用户自定义ACL

5000~5999

使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。

ACL访问控制列表_第8张图片

ACL的匹配机制

——逐条匹配(最小编号开始),一旦匹配成功一条故意之后则停止匹配后续的规则

ACL访问控制列表_第9张图片

ACL应用场景

ACL访问控制列表_第10张图片

ACL访问控制列表_第11张图片

注:内网 ——>(inbound)——> 查找路由——>(outbound)——> 外网

你可能感兴趣的:(HCIA-Datacom,V1.0,学习分享,网络,网络协议,acl,网络安全,huawei)