為什么會產生ACL?
需要一個工具,實現流量過濾(有限的訪問)。如某公司為保證財務數據安全,禁止研發部門訪問財務服務器,但總裁辦公室不受限制。
ACL有什么用?
ACL是一個匹配工具,作用是識別並區分報文。其他技術通過調用ACL,就可以:
(1)控制網絡訪問(2)防止網絡攻擊(3)提高網絡利用率
具體應用有:
(1)匹配IP流量
(2)在Traffic-filter中被調用
(3)在NAT中調用ACL,規定哪些數據包需要地址轉換。
(4)在路由策略中被調用
(5)在防火牆的策略部署中被調用
(6)在QoS中調用ACL,對不同類別的數據提供有差別的服務。
ACL的組成是什么?
ACL是由一系列permit或deny語句組成的,有次序規則的列表。
ACL編號:用來區分ACL,不同分類的ACL編號范圍也不同。
規則:每條語句就是該ACL的一個規則。
規則編號:用來區分規則,可以自定義或系統分配,所有規則都按規則編號從小到大排序。如5,10,15,20...
動作:每條規則中的permit或deny,就是這條規則的處理動作。
匹配項:用戶感興趣的報文。
路由器的一個接口一個方向只能綁定一個ACL,一個ACL可以應用到多個接口。
通配符
通配符是什么?
通配符是一個32bit長度的數值,通常采用類似網絡掩碼的點分十進制形式表示,但是含義與網絡掩碼完全不同。
通配符有什么功能?
IP地址+通配符,可以表示若干IP地址的集合。比如192.168.1.1 0.0.0.254可以表示192.168.1.0/24網段中奇數IP地址的集合。
通配符如何實現上述功能?
IP地址+通配符,可以指示IP地址中哪些比特位需要嚴格匹配,哪些比特位無需匹配。
通配符換算成二進制后,“0”表示需要匹配,“1”表示不關心。
ACL設計思路
(1)使用基本ACL還是高級ACL?
(2)在哪個路由器上進行控制?在哪個接口上進行控制?在哪個方向上進行控制?
(3)ACL規則的順序是什么?