前文我們了解了DHCP服務相關話題,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/15147870.html;今天我們來聊一聊訪問控制列表ACL;
ACL(access control list)是一款流量過濾工具,它能針對特定的流量數據包做拒絕或允許操作;本質上講ACL是最早的包過濾防火牆;它能根據我們定義的規則將數據包進行分類,並針對不同類型的數據包進行不同的處理,從而實現針對網絡訪問行為的控制、限制網絡流量、提高網絡性能和防止網絡攻擊;
提示:ACL主要針對三層ip包頭里的源地址和目標地址以及四層TCP包頭的源端口和目標端口來分類過濾數據包,我們可以根據這四個元素任意組合定義不同的規則;當然對於二層數據鏈路層也可根據源mac和目標mac、vlan id等來制定規則;
ACL應用場景
提示:我們可以通過制定ACL規則實現允許或拒絕流量通過;如上圖我們可以允許192.168.1.0/24這個網段里的主機可以正常訪問互聯網,但不允許訪問服務器A;對於192.168.2.0/24這個網絡里的主機允許訪問服務器A,但拒絕訪問互聯網;
提示:ACL可以根據需求來定義過濾的條件以及匹配條件后所執行的動作;如上圖,匹配ACL條件的數據包進行加密操作;未匹配的數據不做任何處理;
ACL工作原理
提示:首先ACL由一條或多條規則組成;每個ACL都有一個名稱或編號;對於不同范圍編號的ACL其特性也有所不同;每條規則必須選擇動作,允許或拒絕;每條規則都有一個id序號,默認不給id,就是5,間隔5;序號的作用就是排序規則匹配順序,數字越小越有限匹配;只要有一條規則和報文匹配,就停止查找,稱為命中規則;如果查找完所有規則,如果沒有符合條件的規則,稱為未命中規則;ACL創建后,必須將其應用到某個接口或其他技術內才會生效;應用在接口時必須選擇方向:入站或出站(相對設備來判斷),每個接口在每個方向上只可應用一個ACL;不能過濾由設備自己產生的數據;
ACL類型
提示:ACL分為數字型ACL和命名型ACL;對於數字型ACL來說,主要分三中類型,基本ACL,其編號范圍是2000-2999,高級ACL編號為3000-3999,二層ACL編號為4000-4999;最后是用戶自定義ACL其編號范圍5000-5999;對於命名型ACL具體屬於高級還是基本還是二層,由命令決定;默認不跟編號就是高級ACL;
正掩碼、反掩碼、通配符區別
示例:用通配符匹配一個地址
示例:匹配一個網段
示例:匹配任意地址
提示:后面不接任何地址直接回車也表示匹配任意地址,后面接any也表示匹配任意地址;
示例:匹配網段內的所有奇數地址
提示:我們知道對於一個奇數來說,它的二進制最后一位肯定是1;那么我們只需匹配最后一位必須是1即可;結合上述通配符的規則,1表示無需匹配,0表示必須匹配;對應我們可以算出匹配奇數的通配符為254;對於254來說,它的二進制最后一位是0,則表示最后一位必須匹配;這個必須匹配是指匹配前邊的ip地址和后面的通配符做異或計算(相同為0不同為1)的結果;如上1的二進制最后一位是1和254的最后一位0做異或計算就是1;這表示IP地址二進制最后一位必須是1對應ip地址才能被匹配;這樣一來對於匹配是奇數還是偶數,由前邊變得ip地址決定;如果ip地址的二進制最后一位是1則匹配奇數,如果ip地址最后一位是0則匹配偶數;
示例:匹配網段內的所有偶數地址
ACL配置
1、創建ACL
提示:創建ACL如果后面直接跟數字表示創建數值型ACL,根據給定數字自動創建對應類型的ACL;如果創建acl后面跟的是名稱,如果后面沒有指定對應acl編號,默認就是高級ACL;
2、創建規則
提示:創建規則,如果沒有跟規則編號,默認就是5;創建ACL規則需要指定對應的動作,允許或拒絕;后面是該規則的匹配條件;不同類型的ACL,對應后面的匹配條件也有所不同,對於基本acl來說,它只能匹配源ip等;對於高級acl來說,它即可以匹配源ip地址,目標ip地址,也可以匹配源端口或目標端口;
3、創建高級ACL
在高級acl里創建規則
提示:上述規則表示允許192.168.1.232這台主機訪問1.1.1.1這台服務器的80端口;
4、在接口調用ACL過濾流量
提示:在接口模式下調用acl,需要注意方向,inbound表示入站,outbound表示出站;
5、驗證acl
6、查看接口acl調用情況
7、查看設備上所有基於ACL調用情況
提示:該命令在路由器上能夠正常執行,交換機不支持;