ACL
1. 技术特性
ACL介绍:
访问控制列表(Access Control Lists,ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
分类:
主要使用的是编号ACL和命名ACL两种类别。
2. 编号ACL
编号ACL分为编号标准ACL和编号扩展ACL。
- 编号标准ACL:
- 特点——因为标准ACL是IP ACL,所以查看的是IP报头。只匹配源IP地址;允许或者拒绝的是完整的协议栈。
- 编号——
1~99,1300~1999。 - 标准ACL创建命令——
access-list 1 deny/permit 192.168.1.0 0.0.0.255,表示列表编号为1,拒绝/允许源IP地址为192.168.1.0/24的包。 - 标准ACL调用命令——进入某接口配置模式下,使用
ip access-group 1 in/out命令,在接口的出去/进来方向,调用编号为1的ACL。
- 编号扩展ACL:
- 特点——可以匹配特定的源目IP地址,源目端口;允许或拒绝的可以是特定的协议,如ICMP、TCP等。
- 编号——
100~199,2000~2699。 - 标准ACL创建命令——
access-list 100 deny/permit 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80,表示列表编号为100,拒绝/允许源IP地址为192.168.1.0/24,目的IP地址为192.168.2.0/24,使用80端口(HTTP服务)的数据包。 - 标准ACL调用命令——进入某接口配置模式下,使用
ip access-group 100 in/out命令,在接口的出去/进来方向,调用编号为100的ACL。
3. 命名ACL
命名ACL分为命名标准ACL和命名扩展ACL,划分准则和标准ACL一致。其特点为管理方便,可以任意增加、删除或者修改特定语句。
-
命名标准ACL:其命令格式如下。
ip access-list standard 名字
10 permit IP地址
20 deny IP地址 -
命名扩展ACL:其命令格式如下。
ip access-list extended 名字
10 permit tcp 源IP地址 目的IP地址 eq telnet
20 deny udp 源IP地址 目的IP地址 eq 520
4. 总结
- 基于编号的ACL无法删除特定的条目,只能删除整个ACL;
- ACL只过滤通过路由器的流量,不能过滤自己产生的流量;
- ACL最后都有一条隐藏语句:
deny any/deny ip any any。因此如果ACL都是拒绝语句,一般在最后会加上permit any/permit ip any any,用于放行其余流量; - 标准ACL要放在靠近目的IP地址的地方,扩展ACL要放在靠近源IP地址的地方;
- ACL可以同时用在接口的出和入方向上,但在一个接口的一个方向上只能有一个访问列表;
- ACL对流量从上到下匹配,找到匹配条目马上执行,剩下的条目不再匹配;如果没有匹配则丢弃。因此精细匹配项应该放在前面。
|