写点什么

ACL 访问控制列表 基础、创建 ACL 访问控制列表的两种方式、配置 ACL 访问控制列表规则、修改 ACL 规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。

  • 2022-10-28
    江西
  • 本文字数:2039 字

    阅读完需:约 7 分钟

ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。


ACL 的组成:


ACL 由若干条 permit 或 deny 语句组成,每条语句就是该 ACL 的一条规则,每条语句中的 permit 或 deny 就是与这条规则相对应的处理动作。

permit  ---->  允许列表

deny    ---->  拒绝列表

创建 ACL 访问控制列表的两种的方式:

1、数字命名:

acl number +数字(0~4294967294)
复制代码


点击并拖拽以移动

2、字符串命名方式:

acl name +字母 +acl类型
举例两种acl类型:Basic --- 基础aclAdvanced --- 高级acl
复制代码


点击并拖拽以移动

如下图所示字符串命名方式: 



点击并拖拽以移动

​编辑


ACL 创建步骤:

1、先创建 ACL 列表:

acl number 2000      //创建基础访问控制列表的编号为2000 
复制代码


点击并拖拽以移动

进入 acl 列表:

acl +acl列表名字
进入acl列表2000acl 2000
复制代码


点击并拖拽以移动

2、配置 ACL 的一条条规则:

(用户自定义规则)---(规则编号的范围:0~4294967294)

rule 5 permit source 1.1.1.0 0.0.0.255    //rele 5 规则的编号为5(可以不写,每个规则编号默认隔开5号【默认编号间隔步长为5,步长是为了后续在旧规则之间,插入新的规则】),编号越小越优先处理
rule 10 deny source 2.2.2.0 0.0.0.255    // permit、deny允许通过或拒绝该流量通过
rule 15 permit source 3.3.3.0 0.0.0.255  // 匹配项(此处为源IP地址)
复制代码


点击并拖拽以移动

3、进入需要应用这个访问控制列表的接口:

traffic-filter inbound acl 2000   //流量过滤使用编号为acl 2000的访问控制列表
复制代码


点击并拖拽以移动



点击并拖拽以移动

​编辑

注:

1、每个 ACl 列表末尾隐含的规则----每个 ACL 列表默认规则,我们看不到的规则

Rule 4294967294 permit any   //编号为4294967294的规则,默认允许所有数据通过(也就是没被前面规则拒绝的流量都会被允许通过【华为设备默认通过】【思科设备默认全部拒绝】)
复制代码


点击并拖拽以移动

2、越精确的 ACl 规则越先写,规则号数越前,因为数据匹配到该规则后,就不会继续往下匹配。

修改规则默认步长:(默认步长为 5)

#需进入访问控制列表设置

Step 10   //修改acl规则默认步长为10,已存在的规则也会重新以步长为10的间隔排序好。
复制代码


点击并拖拽以移动



点击并拖拽以移动

​编辑



点击并拖拽以移动

​编辑


子网掩码:

配置地址时,配置子网掩码

反掩码:

ospf 配置用到反掩码,255.255.255.255 -(减去)子网掩码。0 代表匹配,1 代表忽略,反掩码 0 和 1 是连续的。

通配符掩码:

匹配规则:“0”表示严格匹配,“1”表示任意

ACL 用到通配符掩码,0 代表匹配,1 代表忽略,0 和 1 可以不连续。

注:要精确放行某个 IP 地址就需要全 0 的通配符掩码。

例:

#全 0 的通配符掩码用于匹配一个具体的地址。

192.168.1.1 0.0.0.0

#放行某一个网段的话,就用那个位数的通配符掩码

 


点击并拖拽以移动

​编辑

ACL 的分类与标识:

创建 acl 访问控制列表时,使用的数字编号在 2000 到 2999 这个范围,则创建的是基本 acl。

基本 acl 只会管理看源 IP 地址,不会管目标 IP 地址

acl number 2000    //创建一个基本acl访问控制列表
简写:acl 2000退出访问控制列表后,想要回到访问控制列表继续配置规则时,进入方式也是:acl 200进入acl访问控制列表:acl +ACL列表名
复制代码


点击并拖拽以移动

创建 acl 访问控制列表时,使用数字编号在 3000 到 3999 这个范围,则创建的基本 acl。以此类推。

高级 acl 会看源 IP 地址,也会看目标 IP 地址,可以更精确的确定规则

acl number 3000    //创建一个高级acl,列表名为3000
复制代码


点击并拖拽以移动



点击并拖拽以移动

​编辑

创建基础访问控制列表:

acl 2000~2999 都是基础访问控制列表:

acl number 2000
复制代码


点击并拖拽以移动

定义规则:

 基本 acl 只能对数据的源 ip 地址进行控制,拒绝或允许某网段的数据访问,

rule 100 deny source 1.1.1.0 0.0.0.255 拒绝来自1.1.1.0网段的数据通过该接口
复制代码


点击并拖拽以移动



点击并拖拽以移动

​编辑

 进入接口配置流量过滤器:

 进入需要配置流量过滤器的接口

traffic-filter inbound acl 2000   //入站流量控制traffic-filter outbound acl 2000  //出站流量控制
复制代码


点击并拖拽以移动



点击并拖拽以移动

​编辑

创建高级访问控制列表步骤:

acl 3000~3999 都是高级访问控制列表:

acl number 3000
复制代码


点击并拖拽以移动

 定义规则:

高级访问控制列表可以实现源 ip 到目标 ip 的数据访问控制,可以更精确更精准的实现数据访问操控。

 rule 21 permit ip source 3.3.3.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 
1、定义编号为21号的规则2、允许IP协议数据通过3、允许源IP地址网段为3.3.3.0 目的地址网段是1.1.1.0 的数据通过
复制代码


点击并拖拽以移动

进入接口使用该访问控制列表规则 :

流量过滤器使用 acl 3000 的访问控制列表

traffic-filter inbound acl 3000
复制代码


点击并拖拽以移动



点击并拖拽以移动

​编辑

实例: 



点击并拖拽以移动

​编辑 小提示:每个规则编号默认间隔 5 位整数位


点击并拖拽以移动

​编辑

 然后就可以实现 3.3.3.0 网段的 pc 机能与 1.1.1.0 网段的 pc 机通信,与 3.3.3.0 网段的 pc 机无法通信。


点击并拖拽以移动

​编辑


 其余未命中规则的 pc 机可以相互访问(华为设备)


点击并拖拽以移动

​编辑


ACL 匹配机制:

1、数据会在接收和发送时检测接口是否存在 ACL 访问控制列表。不存在控制列表在则直接通行。

2、若有访问控制列表,则查看是否存在访问规则。不存在规则则直接通行。

3、若存在规则,则分析第一条规则。若命中规则,则查看第 6 条。

4、若未命中规则,则查看是否有下一条规则。若没有下一条规则,则 ACL 匹配结果为不匹配,华为设备对 ACL 匹配结果为不匹配的数据默认为允许通行、思科设备则不允许通行。

5、访问下一条规则,若命中规则,ACL 动作是 permit 还是 deny。

6、若命中规则为 permit,则 ACL 匹配结果为允许。若命中规则为 deny,则 ACL 匹配结果为拒绝。



点击并拖拽以移动

​编辑


发布于: 刚刚阅读数: 4
用户头像

还未添加个人签名 2022-09-30 加入

还未添加个人简介

评论

发布
暂无评论
ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。_十月月更_Python-派大星_InfoQ写作社区