日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 编程资源 > 编程问答 >内容正文

编程问答

ACL初识(访问控制列表)

發布時間:2024/2/28 编程问答 29 豆豆
生活随笔 收集整理的這篇文章主要介紹了 ACL初识(访问控制列表) 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

ACL初識

  • ACL初識
  • 一、ACL
    • 1、ACL在接口應用的傳輸方向
    • 2、ACL的處理過程圖
    • 3、ACL的兩個作用
    • 4、原理
    • 5、ACL的分類
    • 6、ACL的應用原則
    • 7、應用規則
  • 二、命令簡介
  • 總結

ACL初識

訪問控制列表(ACL)是一種基于包過濾的訪問控制技術,它可以根據設定的規則對數據包進行過濾,允許其通過或丟棄。訪問控制列表被廣泛地應用于路由器和三層交換機,借助于訪問控制列表,可以有效地控制用戶對網絡的訪問,從而最大程度地保障網絡安全。

一、ACL

訪問控制列表(Access Control Lists,ACL)是應用在路由器接口的指令列表。這些指令列表通過讀取第三層和第四層的包頭信息,加上預先定義好的規則,對數據包進行過濾。

1、ACL在接口應用的傳輸方向

  • 入口
    入口指的是已經到達路由器接口的數據包,即將被路由器處理。
  • 出口
    出口指的是已經經過路由器處理,正準備離開路由器的數據包。

    • 2、ACL的處理過程圖

    3、ACL的兩個作用

    • 根據規則,用來對數據包作訪問控制(丟棄或者放行)。

    • 結合其他協議,用來匹配范圍。

    4、原理

    當ACL處理數據包時,一旦數據包與某條ACL語句匹配,則會跳過列表中剩余的其他語句,根據該條匹配的語句內容決定允許或者拒絕該數據包。如果數據包內容與ACL語句不匹配,那么將依次使用ACL列表中的下一條語句測試數據包。該匹配過程會一直繼續,直到抵達列表末尾。最后一條隱含的語句適用于不滿足之前任何條件的所有數據包。這條最后的測試條件與這些數據包匹配,通常會隱含拒絕一切數據包的指令。此時路由器不會讓這些數據進入或送出接口,而是直接丟棄。最后這條語句通常稱為隱式的“deny any”語句。由于該語句的存在,所以在ACL中應該至少包含一條permit語句,否則,默認情況下,ACL將阻止所有流量。

    簡潔的講就是:當數據包經過接口時,因為接口開啟了ACL,此時路由器對數據報文進行檢查,然后根據預定的規則,做出相應的處理。

    5、ACL的分類

    • 基本ACL(2000~2999):只能匹配源IP地址
    • 高級ACL(3000~3999):可匹配源IP、目標IP、源端口、目標端口等三層和四層的字段
    • 二層ACL(4000~4999):根據源MAC、目的MAC、802.1q優先級、二層協議等二層信息制訂規則

    6、ACL的應用原則

    • 基本ACL:盡量用在靠近目的點
    • 高級ACL:盡量用在靠近源的地方(可保護帶寬和其他資源)

    7、應用規則

    • 一個接口的同一個方向,只能有一個ACL
    • 一個ACL里可以有多個rule規則,按照規則ID從小到大的順序,從上往下依次執行
    • 數據包一旦被某個rule匹配,就不會再繼續向下匹配
    • 用來做數據包訪問控制時,默認隱含放過所有(華為設備)

    二、命令簡介

    基礎ACL(示例):

    [Huawei]acl number 2000 #進入ACL2000列表 [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.0 0.0.0.255 #permit代表允許,source代表來源,之后跟上反掩碼 [Huawei-acl-basic-2000]rule deny source any #拒絕所有訪問,any代表所有 [Huawei-acl-basic-2000]int g0/0/1 #進入g0/0/1接口 [Huawei-GigabitEthernet0/0/1]ip add 192.168.2.254 24 #接口配置IP地址 [Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 #接口出方向調用ACL2000(outbound為出方向,inbound為入方向)

    高級ACL(示例):

    [Huawei]acl number 3000 #進入ACL3000列表 [Huawei-acl-basic-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.10 #拒絕192.168.1.0 網段ping 192.168.3.1 [Huawei-acl-basic-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.10 destination-port eq 80 #destination代表目的地址,destination-port 代表目的端口號 [Huawei-acl-basic-3000]rule deny tcp source any destination 192.168.3.10 destination-port eq 80 [Huawei-acl-basic-3000]rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 0 destination-port eq 21 #拒絕源地址192.168.10.0 網段訪問FTP服務器12.0.0.2 [Huawei-acl-basic-3000]int g0/0/0 #進入g0/0/0接口 [Huawei-GigabitEthernet0/0/0]ip add 192.168.2.254 24 #接口配置IP地址 [Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 #接口出方向調用ACL300

    總結

    訪問控制列表具有許多作用,如限制網絡流量、提高網絡性能;通信流量的控制,例如ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量;提供網絡安全訪問的基本手段;在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。
    訪問控制列表從概念上來講并不復雜,復雜的是對它的配置和使用,許多初學者往往在使用訪問控制列表時出現錯誤。

    總結

    以上是生活随笔為你收集整理的ACL初识(访问控制列表)的全部內容,希望文章能夠幫你解決所遇到的問題。

    如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。