ACL基礎詳解:
訪問控制列表(ACL)是一種基於包過濾的訪問控制技術,它可以根據設定的條件對接口上的數據包進行過濾,允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機,借助於訪問控制列表,可以有效地控制用戶對網絡的訪問,從而最大程度地保障網絡安全。
訪問控制列表(Access Control Lists,ACL)是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數據包可以收、哪些數據包需要拒絕。至於數據包是被接收還是拒絕,可以由類似於源地址、目的地址、端口號等的特定指示條件來決定。
訪問控制列表具有許多作用,如限制網絡流量、提高網絡性能;通信流量的控制,例如ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量;提供網絡安全訪問的基本手段;在路由器端口處決定哪種類型的通信流量被轉發或被阻塞,例如,用戶可以允許E-mail通信流量被路由,拒絕所有的 Telnet通信流量等。
ACL處理過程及規則:
當ACL處理數據包時,一旦數據包與某條ACL語句匹配,則會跳過列表中剩余的其他語句,根據該條匹配的語句內容決定允許或者拒絕該數據包。如果數據包內容與ACL語句不匹配,那么將依次使用ACL列表中的下一條語句測試數據包。該匹配過程會一直繼續,直到抵達列表末尾。最后一條隱含的語句適用於不滿足之前任何條件的所有數據包。這條最后的測試條件與這些數據包匹配,通常會隱含拒絕一切數據包的指令。此時路由器不會讓這些數據進入或送出接口,而是直接丟棄。最后這條語句通常稱為隱式的“deny any”語句。由於該語句的存在,所以在ACL中應該至少包含一條permit語句,否則,默認情況下,ACL將阻止所有流量。
訪問控制列表的使用:
ACL的使用分為兩步:
-
創建訪問控制列表ACL,根據實際需要設置對應的條件項;
-
將ACL應用到路由器指定接口的指定方向(in/out)上。
在ACL的配置與使用中需要注意以下事項:
-
ACL是自頂向下順序進行處理,一旦匹配成功,就會進行處理,且不再比對以后的語句,所以ACL中語句的順序很重要。應當將最嚴格的語句放在最上面,最不嚴格的語句放在底部。
-
當所有語句沒有匹配成功時,會丟棄分組。這也稱為ACL隱性拒絕。
-
每個接口在每個方向上,只能應用一個ACL。
-
標准ACL應該部署在距離分組的目的網絡近的位置,擴展ACL應該部署在距離分組發送者近的位置
華為交換機ACL配置命令:
在全局視圖下輸入“ACL”
[HuaWei-SWitch] acl ?
INTEGER<2000-2999> Basic access-list —— 基本訪問列表
INTEGER<3000-3999> Advanced access-list —— 高級訪問列表
INTEGER<4000-4999> L2 access-list —— 二層訪問列表
INTEGER<5000-5999> User defined access-list —— 用戶定議訪問列表
INTEGER<6000-9999> UCL group access-list —— UCL組訪問列表
[HuaWei-SWitch]acl 2000 —— 進入基本訪問列表
[HuaWei-SWitch-acl-basic-2000] rule 5 deny source 192.168.1.0 0.0.0.255 —— 定義行號為 5 的規則,拒絕來源IP為 192.168.1.0至192.168.1.255地址訪問
注:如果不定義行號,交換機第一行規則默認是從 5 開始,依次步長為5往后遞增。
此條命令中的子網掩碼叫做通配符,將IP地址與通配符進行與計算。
ACL中的通配符:
通配符掩碼:路由器使用通配符掩碼與原地址或者是目標地址一起來分辨匹配的地址范圍,在訪問控制列表中,將通配符掩碼中設置為1 的表示本位可以忽略ip地址中的對應位,設置成0 的表示必須精確的匹配ip地址中的對應位。
通配符掩碼中,可以用255.255.255.255表示所有IP地址,因為全為1說明32位中所有位都不需檢查,此時可用any替代
通配符中 0 代表匹配,1 代表不用管
例:[HuaWei-SWitch-acl-basic-2000] rule 1 deny source 192.168.1.0 1.1.1.1 ——設置行號為1的規則,拒絕來源IP的所有地址 ,通配符全為1表示所有位數都不用考慮,直接拒絕。那么所有來源的IP將被直接拒絕。
當在同一個行號中,再次輸入的規則與上次輸入的規則匹配相同時,再次輸入的規則不會替換之前的規則
例:[HuaWei-SWitch-acl-basic-2000]rule 1 deny source 10.5.18.0 0.0.255.255
[HuaWei-SWitch-acl-basic-2000]rule 1 deny source 10.5.10.0 0.0.255.255
這兩條規則,將執行第一條,因為第一條的匹配規則已經包括了第二條的匹配范圍。
ACL基本配置:
[HuaWei-SWitch-acl-basic-2000] rule 2 permit source 10.5.86.0 0.0.0.255 ——設置行號為2的規則,允許來源IP為10.5.86.0至10.5.86.255地址這個網段訪問的流量
[HuaWei-SWitch] interface GigabitEthernet 1/0/1 ——進入需要設置ACL規則的端口
[HuaWei-SWitch-GigabitEthernet1/0/1]traffic-filter inbound acl 2000 ——設置在此端口的進方向遵循ACL 2000列表規則。
[HuaWei-SWitch-GigabitEthernet1/0/1]traffic-filter outbound acl 2001——設置在此端口的出方向遵循ACL 2001列表規則。
查看:display acl all ——查看交換機的所有ACL配置列表
例:[HuaWei-SWitch-GigabitEthernet1/0/1]dis acl all
Total nonempty ACL number is 2
Basic ACL 2000, 2 rules
Acl's step is 5
rule 1 deny source 0.0.10.0 255.255.0.0
rule 2 permit source 10.5.86.0 0.0.0.255
Basic ACL 2001, 1 rule
Acl's step is 5
rule 1 permit source 10.5.88.0 0.0.0.255
注意
ACL 調用在最靠近目標的端口上
華為交換機acl調用命令:
創建ACL列表:
[S5700-2-acl-basic-2000] rule 5 permit source 192.168.10.100 0.0.0.0 —— 設置允許此IP的主機流量通過
[S5700-2-acl-basic-2000] rule 10 deny source 192.168.10.0 0.0.0.255 ——設置拒絕此IP網段的主機流量通過
[S5700-2-acl-basic-2000] rule 20 permit source 192.168.20.100 0.0.0.0 —— 設置允許此IP的主機流量通過
[S5700-2-acl-basic-2000] rule 30 deny source 192.168.20.0 0.0.0.255 ——設置拒絕此IP網段的主機流量通過
[S5700-2-acl-basic-2000] rule 40 permit source any ——設置末尾隱藏規則,放行其他來源的流量
在靠近目標的接口下調用ACL,要確定接口方向,是流量進入時執行,還是轉發數據出去時的方向
[S5700-2] interface GigabitEthernet 1/0/1
[S5700-2-GigabitEthernet1/0/1] traffic-filter inbound acl 2000 ——在此接口的入方向調用ACL2000列表規則
[S5700-2-GigabitEthernet1/0/1]traffic-filter outbound acl 2000 —— 在此接口的出方向調用ACL 2000列表規則