ACL-访问控制列表配置

目录

  • ACL在企业网络中的应用
  • ACL应用场景
  • ACL分类
  • ACL规则
    • ACL匹配规则
    • ACL创建顺序
  • ACL应用-NAT

ACL在企业网络中的应用

  • 企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。
  • 访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

ACL应用场景

ACL可以通过定义规则来允许或拒绝流量的通过

ACL-访问控制列表配置_第1张图片

  • ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。
  • 本示例中,网关RTA允许192.168.1.0/24中的主机可以访问外网,也就是Internet;而192.168.2.0/24中的主机则被禁止访问Internet。对于服务器A而言,情况则相反。网关允许192.168.2.0/24中的主机访问服务器A,但却禁止192.168.1.0/24中的主机访问服务器A。

ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。
ACL-访问控制列表配置_第2张图片

  • 设备可以依据ACL中定义的条件(例如源IP地址)来匹配入方向的数据,并对匹配了条件的数据执行相应的动作。在本示例所述场景中,RTA依据所定义的ACL而匹配到的感兴趣流量来自192.168.2.0/24网络,RTA会对这些感兴趣流量进行加密(虚拟局域网VPN中会进行介绍)之后再转发。

ACL分类

分类 编号范围 参数
基本ACL 2000-2999 源IP地址等
高级ACL 3000-3999 源IP地址、目的IP地址、 源端口、目的端口等
二层ACL 4000-4999 源MAC地址、目的MAC地址、以太帧协议类型等

ACL规则

每个ACL可以包含多个规则,路由器根据规则来对数据流量进行过滤
ACL-访问控制列表配置_第3张图片

ACL匹配规则

  • 一个ACL可以由多条“deny | permit”语句组成,每一条语句描述了一条规则。设备收到数据流量后,会逐条匹配ACL规则,看其是否匹配。如果不匹配,则匹配下一条。一旦找到一条匹配的规则,则执行规则中定义的动作,并不再继续与后续规则进行匹配。如果找不到匹配的规则,则设备不对报文进行任何处理。需要注意的是,ACL中定义的这些规则可能存在重复或矛盾的地方。规则的匹配顺序决定了规则的优先级,ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形。

ACL创建顺序

  • ARG3系列路由器支持两种匹配顺序:配置顺序和自动排序。

  • 配置顺序按ACL规则编号(rule-id)从小到大的顺序进行匹配。设备会在创建ACL的过程中自动为每一条规则分配一个编号,规则编号决定了规则被匹配的顺序。例如,如果将步长设定为5,则规则编号将按照5、10、15…这样的规律自动分配。如果步长设定为2,则规则编号将按照2、4、6、8…这样的规律自动分配。通过设置步长,使规则之间留有一定的空间,用户可以在已存在的两个规则之间插入新的规则。路由器匹配规则时默认采用配置顺序。另外,ARG3系列路由器默认规则编号的步长是5。

  • 自动排序使用“深度优先”的原则进行匹配,即根据规则的精确度排序。

  • 本示例中,RTA收到了来自两个网络的报文。默认情况下,RTA会依据ACL的配置顺序来匹配这些报文。网络172.16.0.0/24发送的数据流量将被RTA上配置的ACL2000的规则15匹配,因此会被拒绝。而来自网络172.17.0.0/24的报文不能匹配访问控制列表中的任何规则,因此RTA对报文不做任何处理,而是正常转发。

ACL应用-NAT

本例要求通过ACL来实现主机A和主机B分别使用不同的公网地址池来进行NAT转换。

ACL-访问控制列表配置_第4张图片

  • ACL还可用于网络地址转换操作,以便在存在多个地址池的情况下,确定哪些内网地址是通过哪些特定外网地址池进行地址转换的。例如,某企业网络作为客户连接到多个服务供应商网络,企业网络内的用户位于不同的网段/子网,他们期望分别通过某个特定的地址组进行地址转换来实现报文转发。这种情况极有可能发生在连接不同服务供应商网络的路由器上行端口。

  • 本示例中,要求192.168.1.0/24中的主机使用地址池1中的公网地址进行地址转换,而192.168.2.0/24中的主机使用地址池2中的公网地址进行地址转换。

  • 点击跳转NAT地址转换

  • 点击跳转NAT配置

你可能感兴趣的:(HCIA,网络,网络协议,huawei)