ACL访问控制列表(HCIA)

ACL访问控制列表:通过对网络中白问流的精确识别与其他技术相结合(策略路由PBR、IPsec、NAT等等结合使用),达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。

功能:

1、流量过滤:有限的互访。

ACL由一系列的permit(允许)或deny(拒绝)语句组成的、有序(顺序)规则列表。

ACL是一个匹配工具,能够对报文进行匹配和区分。

五元组:源目IP、源目端口、协议类型

华为隐藏默认规则是premit。(思科是deny)

[R2]acl 2000

创建ACL2000条目

[R2-acl-basic-2000]rule deny source 1.1.1.1 0.0.0.0

拒绝放行源IP为1.1.1.1的报文

[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000

接口启用ACL规则

之前可以通:

接口启用ACL规则2000后不能通:

ACL访问控制列表(HCIA)_第1张图片

[R2-acl-basic-2000]rule 4294967294 deny

拒绝放行所有流量

默认拒绝所有可能导致之后运行路由协议报文被拒绝,导致路由无法传递(默认允许还是比较好的 )。

运营商默认允许好,企业网默认拒绝好。

不同场景默认规则也不同(在telnet中vty里默认是拒绝)。

规则编号:一个ACL中每一条规则都有一个相应的编号。

步长:每个编号之间的差值,默认为5,方便旧规则之间插入新的规则。

重新调整步长,像新设定的看齐:

ACL访问控制列表(HCIA)_第2张图片

子网掩码:配置IP地址时,配置子网掩码。

反掩码:OSPF配置用到的反掩码,255.255.255.255-子网掩码=反掩码,0代表匹配,1代表忽略,反掩码的0和1是连续的(子网掩码是1和0连续,全255减去掩码都是连续的)。

通配符掩码:ACL用到通配符掩码,0代表匹配,1代表忽略,0和1可以不连续。

ACL访问控制列表(HCIA)_第3张图片

报文匹配规则后立即按规则的动作处理,不在继续向下匹配规则。

匹配地址Bit多的规则尽量使用小规则号。

ACL访问控制列表(HCIA)_第4张图片

全匹配

ACL分类和标识:

匹配规则:

1、auto(按精确度):自动排序,将规则按照匹配精确度,从高到低进行匹配(管理员不用关系规则的逻辑性)。

2、config(按配置):按照规则号顺序匹配(默认的)

ACL访问控制列表(HCIA)_第5张图片

ACL分类:

ACL访问控制列表(HCIA)_第6张图片

ACL规则生效时间:

ACL访问控制列表(HCIA)_第7张图片

每天9点到下午5点半,周一到周六

高级ACL:凡是定义出来都要匹配是与的意思。

ACL可以针对目标IP地址是组播的。

基本ACL只能针对一个源来做管控,高级ACL可以做更精细化的管控。

二层ACL这个IP是匹配的帧中类型字段取值:

ACL访问控制列表(HCIA)_第8张图片

用户ACL是安全里边做了802.1x或者portal认证协议后,由认证服务器自动下发的设备的访问控制列表。

命名ACL:

1、advance高级ACL:

2、basic基本ACL:

ACL的匹配机制:

ACL访问控制列表(HCIA)_第9张图片

ACL的匹配位置:

1、inbound入站:只对报文收的接口生效。

2、outbound出站:只对接口发出去的流量生效。

ACL访问控制列表(HCIA)_第10张图片

outbonud出站对路由器自己始发的流量不会过滤,只有对穿越流量有效果。

单通的问题:

A---------C------------B

A可以访问B,B不能访问A。

C左边接口入站允许A通信,右边接口入站不允许B通信。

用一个ACL在入站上拒绝就可以实现,但是市场部还能流量到研发能过去,但回不来,但流量单向过去了容易产生风险(DDOS攻击),所以两个接口都用。

基本ACL和高级ACL如何合理使用?

基本ACL定义的是源地址,尽量靠近源配置。

高级ACL尽量靠近目的地配置,一网打尽。

 ACL访问控制列表(HCIA)_第11张图片

你可能感兴趣的:(网络)