ACL概述
简介
介绍
ACL Access Control List 访问控制列表
图示
应用场景
场景一
ACL可以通过定义规则来允许和拒绝流量的通过
图示
场景二
ACL可以根据需求定义过滤的条件以及匹配的条件,做后期其他技术的依据
图示
ACL工作原理
编写规范
图示
文字解释
- ACL 名字
- acl (number) 2000
- acl name 自定义
- ACL由一条或者两条规则组成
- 每条规则必须选择动作:允许 permit 或者拒绝 deny
- 规则 rule
- 每条规则都不必须有一个id(默认是5 间隔为5),作为规则编号
- 规则序列号越小越优先匹配
- 只要一条规则与报文匹配了,停止查找,叫做命中规则
- 所有的规则都没有匹配报文,叫做未命中规则
- 指定规则的原则:先细后粗
- ACL创建之后,必须被应用到接口或者其他的技术内才能够生效
- 应用到接口的时候,必选要选择入站或者出站方向(相对设备来说)
- ACL不能操作设备自己产生的数据
ACL规则rule
ACL类型(分为数字型和命名型)
图表
| 分类 | 编号范围 | 参数 |
|---|---|---|
| 基本ACL | 2000-2999 | 源地址等 |
| 高级ACL | 3000-3999 | 源IP地址、目的IP地址、源端口、目的端口等 |
| 二层ACL | 4000-4999 | 源MAC地址、目的MAC地址、以太帧协议类型等 |
| 用户自定义ACL | 5000-5999 | IPv4数据包、IPv6数据包、二层包头、四层包头 |
正掩码、反掩码、通配符
图表
| 名称 | 规则 | 作用 | 举例 | 备注 |
|---|---|---|---|---|
| 掩码 | 连续的1和0 | 配置IP地址 | 255.255.255.0 | 1对应网络为 0对应主机位 |
| 反掩码 | 连续的0和1 | 配置路由协议 | 0.0.0.255 | 0必须与IP地址匹配 1无需匹配 |
| 通配符 | 任意的0和1 | ACL | 255.0.255.0 | 0必须与IP地址匹配 1无需匹配 |
举例
| 举例 | 备注 |
|---|---|
| 192.168.0.1 0.0.0.0 /0 | 匹配一个主机地址 |
| 192.168.0.0 0.0.0.255 | 匹配一个网段 |
| 192.168.0.1 0.0.0.254 | 匹配网段内是奇数地址 |
| 192.168.0.0 0.0.0.254 | 匹配网段内是偶数地址 |
| any x.x.x.x 255.255.255.255 | 匹配所有地址 |
