当前位置:Gxlcms > mysql > 理解IPACL

理解IPACL

时间:2021-07-01 10:21:17 帮助过:163人阅读

一、为什么需要ACL ACL(Access Control List,访问控制列表),作用于路由器接口,用于路由器/交换机接口所通过的数据包过滤,以满足流量过滤和安全性需要! 在通常情况下,对路由器配置了某个接口路由规则后,所有经过该接口的流量均按相同的规则处理,但

一、为什么需要ACL

ACL(Access Control List,访问控制列表),作用于路由器接口,用于路由器/交换机接口所通过的数据包过滤,以满足流量过滤和安全性需要!

在通常情况下,对路由器配置了某个接口路由规则后,所有经过该接口的流量均按相同的规则处理,但有时为了安全性需要或某些其它原因,需要对接口的流量进行选择性过滤。只允许某些IP地址范围的流量通过该接口,其它IP地址的流量禁止通过。ACL正是IOS为解决类似这种接口之间的流量控制需求所提供的一个重要特征。


二、ACL的本质

实际上ACL是通过编号或名称组成的一组命令集合,用于过滤进入或离开接口的流量,从而提高网络安全性。

在ACL命令集合中,每一条命令都明确定义了满足条件的流量是允许还是拒绝。


三、ACL分类

ACL可以分为编号型ACL/命名型ACL,每一种类型又可细分为标准型和扩展型。

编号型ACL和命名型ACL区别仅在于路由器如何引用,编号型ACL按数字编号来引用,命名型ACL按名称来由路由器引用。

标准型与扩展型的区别在于

1、标准型的编号范围与扩展型编号范围不一样。标准型编号范围是:1~99,1300~1999,扩展型编号范围是:100-199,2000~2699.

2、标准型ACL只允许根据源IP地址进行过滤,而扩展型ACL不仅可以根据源IP地址进行过滤,而且还可以根据目的IP地址、源/目的端口号、协议类型过滤流量。


四、ACL处理规则

前面已经说过,ACL本质是一组通过编号或名称组合而成的一组命令,IOS在执行ACL时,永远是按自上到下的顺序来执行,也就是先执行第一条ACL语句,比较是否匹配。如果匹配,结束ACL。如果不匹配,继续执行下一条语句,直至匹配成功结束执行或者执行完所有ACL直至丢弃该分组。

因为ACL上述的既定处理规则,导致在编写ACL时,需要注意几点:

1、ACL命令组合顺序很重要,尽量将精确规则放前、概括性规则放在后面

2、ACL自上向下执行所有命令后,如果没有匹配的规则,路由器将丢弃该数据分组。这种特征称之为ACL隐式拒绝。

3、空的ACL实际将允许所有流量。


五、通配符掩码

参见链接:ACL通配符掩码


六、ACL语法说明

编号型ACL的用法可分为两步

1、全局配置模式下通过access-list命令定义ACL

2、在接口配置模式下通过access-group命令将接口与ACL绑定

编号型标准ACL:

语法:access-list number {permit|deny} source-address source-mask [log]

其中:access-list关键字必须使用

number必须指定,number为具体编号,取值范围为:1~99,1300~19999

permit|deny必须指定,明确指定是允许或禁止

source-addrss为源IP地址,必须指定

source-mask为源地址掩码,可选参数。不指定等于0.0.0.0,表示匹配指定的源IP地址。如指定掩码,则表示源IP地址中哪个部分需匹配。

log参数可选,用于定期产生日志信息,列出ACL被匹配次数


编号型扩展ACL:

编号型扩展ACL与编号型标准ACL之间区别在于:

扩展ACL与标准ACL的编号范围不同,扩展ACL编号范围是:100-199,2000~2699

扩展ACL除了象标准ACL一样,可以按源IP地址匹配外,还可以根据目的IP地址、源/目的端口号,传输层协议来进行过滤,过滤范围更广。

扩展ACL可以在一条access-list中检查多个规则,当一个命令列出多个规则后,数据包必须同时匹配所有规则。

命名型ACL配置步骤

1、在全局配置模式下使用ip access-list{standard|extended} ACL-name命令创建ACL

2、进入命名ACL配置模式,定义一系列permit|deny命令匹配规则

3、在接口配置模式下通过ip access-group命令将接口与ACL绑定


七、ACL使用实例



八、IOS中查看ACL命令

1、show running-config :同时显示已配置的ACL以及接口上激活的ACL

2、show access-lists:显示所有ACL的配置信息

3、show ip interface:列出接口的配置信息,包括ACL信息。

我儿子真帅!

人气教程排行