ACL 访问控制列表 基础、创建 ACL 访问控制列表的两种方式、配置 ACL 访问控制列表规则、修改 ACL 规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。
ACL 的组成:
ACL 由若干条 permit 或 deny 语句组成,每条语句就是该 ACL 的一条规则,每条语句中的 permit 或 deny 就是与这条规则相对应的处理动作。
permit ----> 允许列表
deny ----> 拒绝列表
创建 ACL 访问控制列表的两种的方式:
1、数字命名:
2、字符串命名方式:
如下图所示字符串命名方式:
编辑
ACL 创建步骤:
1、先创建 ACL 列表:
进入 acl 列表:
2、配置 ACL 的一条条规则:
(用户自定义规则)---(规则编号的范围:0~4294967294)
3、进入需要应用这个访问控制列表的接口:
编辑
注:
1、每个 ACl 列表末尾隐含的规则----每个 ACL 列表默认规则,我们看不到的规则
2、越精确的 ACl 规则越先写,规则号数越前,因为数据匹配到该规则后,就不会继续往下匹配。
修改规则默认步长:(默认步长为 5)
#需进入访问控制列表设置
编辑
编辑
子网掩码:
配置地址时,配置子网掩码
反掩码:
ospf 配置用到反掩码,255.255.255.255 -(减去)子网掩码。0 代表匹配,1 代表忽略,反掩码 0 和 1 是连续的。
通配符掩码:
匹配规则:“0”表示严格匹配,“1”表示任意
ACL 用到通配符掩码,0 代表匹配,1 代表忽略,0 和 1 可以不连续。
注:要精确放行某个 IP 地址就需要全 0 的通配符掩码。
例:
#全 0 的通配符掩码用于匹配一个具体的地址。
192.168.1.1 0.0.0.0
#放行某一个网段的话,就用那个位数的通配符掩码
编辑
ACL 的分类与标识:
创建 acl 访问控制列表时,使用的数字编号在 2000 到 2999 这个范围,则创建的是基本 acl。
基本 acl 只会管理看源 IP 地址,不会管目标 IP 地址
创建 acl 访问控制列表时,使用数字编号在 3000 到 3999 这个范围,则创建的基本 acl。以此类推。
高级 acl 会看源 IP 地址,也会看目标 IP 地址,可以更精确的确定规则
编辑
创建基础访问控制列表:
acl 2000~2999 都是基础访问控制列表:
定义规则:
基本 acl 只能对数据的源 ip 地址进行控制,拒绝或允许某网段的数据访问,
编辑
进入接口配置流量过滤器:
进入需要配置流量过滤器的接口
编辑
创建高级访问控制列表步骤:
acl 3000~3999 都是高级访问控制列表:
定义规则:
高级访问控制列表可以实现源 ip 到目标 ip 的数据访问控制,可以更精确更精准的实现数据访问操控。
进入接口使用该访问控制列表规则 :
流量过滤器使用 acl 3000 的访问控制列表
编辑
实例:
编辑 小提示:每个规则编号默认间隔 5 位整数位
编辑
然后就可以实现 3.3.3.0 网段的 pc 机能与 1.1.1.0 网段的 pc 机通信,与 3.3.3.0 网段的 pc 机无法通信。
编辑
其余未命中规则的 pc 机可以相互访问(华为设备)
编辑
ACL 匹配机制:
1、数据会在接收和发送时检测接口是否存在 ACL 访问控制列表。不存在控制列表在则直接通行。
2、若有访问控制列表,则查看是否存在访问规则。不存在规则则直接通行。
3、若存在规则,则分析第一条规则。若命中规则,则查看第 6 条。
4、若未命中规则,则查看是否有下一条规则。若没有下一条规则,则 ACL 匹配结果为不匹配,华为设备对 ACL 匹配结果为不匹配的数据默认为允许通行、思科设备则不允许通行。
5、访问下一条规则,若命中规则,ACL 动作是 permit 还是 deny。
6、若命中规则为 permit,则 ACL 匹配结果为允许。若命中规则为 deny,则 ACL 匹配结果为拒绝。
编辑
版权声明: 本文为 InfoQ 作者【Python-派大星】的原创文章。
原文链接:【http://xie.infoq.cn/article/928f1dad1e966ed00ef0480f3】。文章转载请联系作者。
评论