前文我們了解了DHCP服務相關話題,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/15147870.html;今天我們來聊一聊訪問控制串列ACL;
ACL(access control list)是一款流量過濾工具,它能針對特定的流量資料包做拒絕或允許操作;本質上講ACL是最早的包過濾防火墻;它能根據我們定義的規則將資料包進行分類,并針對不同型別的資料包進行不同的處理,從而實作針對網路訪問行為的控制、限制網路流量、提高網路性能和防止網路攻擊;
提示:ACL主要針對三層ip包頭里的源地址和目標地址以及四層TCP包頭的源埠和目標埠來分類過濾資料包,我們可以根據這四個元素任意組合定義不同的規則;當然對于二層資料鏈路層也可根據源mac和目標mac、vlan id等來制定規則;
ACL應用場景
提示:我們可以通過制定ACL規則實作允許或拒絕流量通過;如上圖我們可以允許192.168.1.0/24這個網段里的主機可以正常訪問互聯網,但不允許訪問服務器A;對于192.168.2.0/24這個網路里的主機允許訪問服務器A,但拒絕訪問互聯網;
提示:ACL可以根據需求來定義過濾的條件以及匹配條件后所執行的動作;如上圖,匹配ACL條件的資料包進行加密操作;未匹配的資料不做任何處理;
ACL作業原理
提示:首先ACL由一潭訓多條規則組成;每個ACL都有一個名稱或編號;對于不同范圍編號的ACL其特性也有所不同;每條規則必須選擇動作,允許或拒絕;每條規則都有一個id序號,默認不給id,就是5,間隔5;序號的作用就是排序規則匹配順序,數字越小越有限匹配;只要有一條規則和報文匹配,就停止查找,稱為命中規則;如果查找完所有規則,如果沒有符合條件的規則,稱為未命中規則;ACL創建后,必須將其應用到某個介面或其他技術內才會生效;應用在介面時必須選擇方向:入站或出站(相對設備來判斷),每個介面在每個方向上只可應用一個ACL;不能過濾由設備自己產生的資料;
ACL型別
提示:ACL分為數字型ACL和命名型ACL;對于數字型ACL來說,主要分三中型別,基本ACL,其編號范圍是2000-2999,高級ACL編號為3000-3999,二層ACL編號為4000-4999;最后是用戶自定義ACL其編號范圍5000-5999;對于命名型ACL具體屬于高級還是基本還是二層,由命令決定;默認不跟編號就是高級ACL;
正掩碼、反掩碼、通配符區別
示例:用通配符匹配一個地址
示例:匹配一個網段
示例:匹配任意地址
提示:后面不接任何地址直接回車也表示匹配任意地址,后面接any也表示匹配任意地址;
示例:匹配網段內的所有奇數地址
提示:我們知道對于一個奇數來說,它的二進制最后一位肯定是1;那么我們只需匹配最后一位必須是1即可;結合上述通配符的規則,1表示無需匹配,0表示必須匹配;對應我們可以算出匹配奇數的通配符為254;對于254來說,它的二進制最后一位是0,則表示最后一位必須匹配;這個必須匹配是指匹配前邊的ip地址和后面的通配符做異或計算(相同為0不同為1)的結果;如上1的二進制最后一位是1和254的最后一位0做異或計算就是1;這表示IP地址二進制最后一位必須是1對應ip地址才能被匹配;這樣一來對于匹配是奇數還是偶數,由前邊變得ip地址決定;如果ip地址的二進制最后一位是1則匹配奇數,如果ip地址最后一位是0則匹配偶數;
示例:匹配網段內的所有偶數地址
ACL配置
1、創建ACL
提示:創建ACL如果后面直接跟數字表示創建數值型ACL,根據給定數字自動創建對應型別的ACL;如果創建acl后面跟的是名稱,如果后面沒有指定對應acl編號,默認就是高級ACL;
2、創建規則
提示:創建規則,如果沒有跟規則編號,默認就是5;創建ACL規則需要指定對應的動作,允許或拒絕;后面是該規則的匹配條件;不同型別的ACL,對應后面的匹配條件也有所不同,對于基本acl來說,它只能匹配源ip等;對于高級acl來說,它即可以匹配源ip地址,目標ip地址,也可以匹配源埠或目標埠;
3、創建高級ACL
在高級acl里創建規則
提示:上述規則表示允許192.168.1.232這臺主機訪問1.1.1.1這臺服務器的80埠;
4、在介面呼叫ACL過濾流量
提示:在介面模式下呼叫acl,需要注意方向,inbound表示入站,outbound表示出站;
5、驗證acl
6、查看介面acl呼叫情況
7、查看設備上所有基于ACL呼叫情況
提示:該命令在路由器上能夠正常執行,交換機不支持;
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/294608.html
標籤:其他
上一篇:HO引擎近況20210819