ACL访问控制技术
访问控制列表(Access Control Lists,ACL)是一种由一条或多条指令的集合,指令里面可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据接收,哪些数据需要拒绝接收。它类似于一种数据包过滤器。从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
如图:可以通过配置ACL来实现限制主机A、主机B访问互联网,限制主机C、主机D访问服务器。
ACL结构
ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是无法使用的,需要应用在业务模块中才能生效,如在NAT中调用、在防火墙的策略部署中被调用、在路由策略中被调用和用来通过流量过滤。
ACL组成如上图所示:
-
访问控制列表编号:在配置ACL时,每个ACL都会分配一个编号,不同编号代表不同的ACL;
-
规则:一个ACL通常由一条或多条“permit/deny”语句组成,一条语句就是一条规则;
-
规则编号:每条规则都有一个相应的编号,用来标识ACL规则,可以由用户指定;
-
动作:permit代表允许,deny代表拒绝,用来给规则设定相应动作;
-
匹配项:可以是源MAC地址、目的MAC,目的地址、协议类型等。
如:rule 10 permit source 1.1.1.0 0.0.0.255
代表:规则10允许源地址为1.1.1.0/24网段地址的报文通过。
ACL分类
-
基本ACL ( 2000-2999) :用报文的源IP地址、分片时间和生效时间段来定义规则。
-
高级ACL ( 3000-3999) :可以匹配源ip、目标ip、 源端口、目标端口等三层和四层的字段。
-
二层ACL (4000-4999) :根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。
-
用户自定义ACL(5000-5999):使用报文头、偏移位置、字符串掩码、用户自定义字符串来定义规则。
-
用户ACL(6000-6999):可用IP报文的源/目标IP地址、IP协议类型、ICMP类型、端口来定义规则;
ACL应用原则
ACL匹配位置:inbound和outbound
基本ACL尽量用在靠近目的端
高级ACL尽量用在靠近源端的地方(可以保护带宽和其他资源)
ACL匹配机制
ACL的匹配机制概括来说就是:
-
配置ACL的设备接收报文后,会将该报文与ACL中的规则逐条进行匹配,如果不能匹 配上,就会继续尝试去匹配下一条规则。
-
一旦匹配上,则设备会对该报文执行这条规则中定义的处理动作,并且不再继续尝试 与后续规则匹配。
-
在存在多条规则的情况下,ACL会访问优先级最编号最小的规则。
ACL实验配置
实验拓扑:
-
使用基本ACL进行数据过滤
实验目的:
-
部署基本ACL实现数据过滤
-
实现PC1无法访问PC3
拓扑如图所示:
(1)在AR1上配置如下:
<Huawei>sys
[Huawei]sysname AR1
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 //配置端口IP
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.3.1 24
[AR1]rip //使用动态路由协议RIP
[AR1-rip-1]version 2 //RIP版本为RIPv2
[AR1-rip-1]network 192.168.1.0 //宣告192.168.1.0网段
[AR1-rip-1]network 192.168.3.0 //宣告192.168.3.0网段
(2)在AR2上配置如下:
<Huawei>sys
[Huawei]un in en
[Huawei]sysname AR2
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 192.168.3.2 24
[AR2-GigabitEthernet0/0/1]int g0/0/2
[AR2-GigabitEthernet0/0/2]ip add 192.168.4.2 24
[AR2-GigabitEthernet0/0/1]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 192.168.2.254 24
[AR2]rip
[AR2-rip-1]version 2
[AR2-rip-1]net 192.168.2.0
[AR2-rip-1]net 192.168.3.0
[AR2-rip-1]net 192.168.4.0
(3)在AR3上配置如下:
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.4.3 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.5.254 24
[Huawei]rip
[Huawei-rip-1]version 2
[Huawei-rip-1]net 192.168.4.0
[Huawei-rip-1]net 192.168.5.0
(4)在各PC上配置相关IP地址和网关
(5)测试PC1与PC3的连通性
(6)在AR3上配置ACL
[Huawei]acl 2000 //创建基本ACL,编号为2001
[Huawei-acl-basic-2000]rule deny source 192.168.1.1 0
//规则(默认为5)拒绝192.168.1.1IP地址访问
[Huawei-acl-basic-2000]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
//在端口g0/0/1上应用ACL2000,设置在outbound方向
(7)配置ACL后,测试PC1与PC3的连通性
