一、ACL作用
1.1 隨着 Internet的發展和網絡應用的增多,IPv4地址枯竭已經成為制約網絡發展的瓶頸。盡管IPv6可以從根本上解決IPv4地址空間不足的問題,但目前眾多的網絡設備和網絡應用仍是基於IPv4的,因此在IP6廣泛應用之前,一些過渡技術的使用是解決這個問題的主要技術手段,網絡地址轉換技術主要用於實現位於內部網絡的主機訪問外部網絡的功能。當局域網內的主機需要訪問外部網絡時,通過技術可以將其私網地址轉換為公網地址,並且多個私網用戶可以共用一個公網地址,這樣既可保證網絡互通,又節省了公網地址。
1.2 企業網絡中的設備進行通信時,需要保障數據傳輸的安全可靠和網絡的性能穩定訪問控制列表ACL( Access Control list)可以定義一系列不同的規則,設備根據這些規則對數據包進行分類,並針對不同類型的報文進行不同的處理,從而可以實現對網絡訪問行為的控制、限制網絡流量、提高網絡性能、防止網絡攻擊等等。
二、ACL--訪問控制列表
作用: 數據過濾、流量過濾、匹配感興趣流(VPN、QoS、NAT、限速)
內容:包含多條ACL語句
ACL語句:條件(人為指定的對象)+動作( permit、deny)
類型
基本ACL編號:2000-2999
高級ACL編號:3000-3999
二層ACL編號:4000-4999檢查對象:目的MAC,源MAC,Type,vlan-id
主要針對數據幀結構中的這些字段
DMAC SMAC DIP SIP Dport Sport dATA
DMAC SMAC type TAG (vlan-id ToS) DIP SIP Dport Sport DATA
華為設備ACL默認隱含允許所有
思科設備ACL默認隱含拒絕所有
ACL對本地起源流量不生效,只對穿越的流量生效。
