HCIA---访问控制列表

文章目录

• 目录

  目录

  前言

  一.ACL简介：

   二.ACL工作原理

  ACL组成： 

  ​编辑

   规则编号：

  ACL匹配规则：

  通配符：

   ACL 匹配顺序

  ACL 匹配位置： 

   ACL 配置命令：

  总结

---

前言

---

一.ACL简介：

           ACL全称为Access Control List，即访问控制表，是一种用于控制网络资源访问的机制。ACL是一种基于策略的访问控制模型，可以控制到不同用户或者组织对于系统内不同资源的访问权限。ACL定义了一组规则，用于确定哪些用户或者组织可以访问哪些资源，并且可以设置不同的访问级别和权限。ACL可以被应用于各种应用场景，例如网络安全、文件共享、邮件服务等。

ACL分类

基于内容的ACL	适用于控制文件和目录访问的权限
基于对象的ACL	适用于控制网络对象的访问权限

ACL适用场景举例：

某公司为保证财务数据安全，进制研发部门访问财务服务器，但总裁办公室不受限制

---

 二.ACL工作原理

访问控制列表：作用于路由器流量流入或流出的接口的列表，指定哪些数据/流量转发，哪些拒绝

•   ACL是一个流量匹配工具，能够对数据进行区分
•  ACL是一张由 permit 和 deny 语句组成的列表 
•     permit（允许）：数据包过滤，允许那些流量通过
•     deny （拒绝）：数据包过滤，拒绝那些流量通过

ACL组成： 

每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作

ACL组成

访问控制列表编号	用于识别ACL
规则编号	用来标识ACL规则  所有规则均按照规则编号从小到大进行排序
动作	permit：允许/deny：拒绝
匹配项	ACL定义了极其丰富的匹配项。例子中体现的源地址，ACL还支持很多其他规则匹配项。
规则	每条语句就是一条规则

 规则编号：

       编号与编号之间以 5 为步长，便于后续规则插入

       步长为编号与编号之间的差值

ACL分类和标识：

ACL匹配规则：

       按照规则编号，自上而下逐一匹配，如果匹配上则，如果匹配上则执行该条规则，否则继续匹配下一条规则。

如何在规则10-15之间新增规则：只需写入一条规则编号为11规则即可

 

通配符：

    通配符是一个32比特长度的数值，用于指示IP地址中，哪些比特位需要严格匹配，哪些比特位无需匹配。

• 当进行IP地址匹配的时候，后面会跟着32位掩码位，这32位称为通配符。

• 通配符，也是点分十进制格式，换算成二进制后，0表示“匹配”，1表示“不关心”。

具体规则如下:      

• rule 5: 拒绝源IP地址为10.1.1.1报文通过——因为通配符为全0，所以每一位都要严格匹配，因此匹配的是主机IP地址10.1.1.1；
• rule 15:允许源IP地址为10.1.1.0/24网段地址的报文通过——因为通配符：0.0.0.255，后8位为1，表示不关心，因此10.1.1.xxxxxxxx 的后8位可以为任意值，所以匹配的是10.1.1.0/24网段。
   

 

 ACL 匹配顺序

 “允许”是指允许流量通过吗？

如果是被其他功能调用，那么不叫“通过”，是匹配成功

放在接口上的话，代表过滤

ACL 匹配位置： 

 

 ACL 配置命令：

#创建ACL列表
[r1]acl 2000 #2000 为acl编号
#在ACL列表中添加规则
[r2-acl-basic-2000]rule permit(deny) source 192.168.1.3 0.0.0.255(通配符) 
[r2-acl-basic-2000]rule permit source any 
#查看acl列表
[r1]display acl 2000
#自定义序号添加规则
[r2-acl-basic-2000]rule 6 deny permit source 192.168.2.1 0.0.0.255
#按照序号删除规则
[r2-acl-basic-2000]undo rule 6 
#在出方向接口上调用ACL列表
[r2-GigabitEthernet0/0/0]traffic-filter outbound(inbound) acl 2000

 

总结