Introdução à lista de acesso IPv4 ACL, introdução e configuração dos três principais tipos de ACL, introdução de curingas ACL, ações ACL, direção de definição e número da regra em linguagem simples.

Lista IPv4 ACL 3.0.0 (introdução, classificação ACL, configuração ACL, curinga)

Introdução

Lista de controle de acesso ACL (lista de controle de acesso)

ACL pode corresponder com precisão ao fluxo de pacotes na rede. Ao combinar com outras tecnologias, pode controlar o comportamento de acesso à rede, prevenir ataques de rede e melhorar a utilização da largura de banda da rede, garantindo assim o desempenho do ambiente de rede e a confiabilidade da qualidade do serviço de rede.

Classificação ACL (equipamento Huawei)

1. ACL básica/padrão

Um dispositivo de rede aprende o tipo ACL identificando o número ACL :

Número ACL básico: 2000~2999

O papel da ACL básica: correspondência com base no endereço de origem do fluxo de dados

• Correspondência básica de ACL: endereço de origem 192.168.1.0/24, ação negada
• Se a fonte 192.168.1.1/32 acessar a rede de 192.168.2.2, ela será interceptada e não poderá ser encaminhada após a lista vinculada a esta ACL.
• Se a fonte 192.168.2.1/32 acessar a rede de 192.168.2.2, ela passará pela lista vinculada a esta ACL.

2. ACL avançado

Número ACL avançado: 3000~3999

O papel do ACL avançado: correspondência com base no fluxo de dados de 5 tuplas (Sip, Dip, Sport, Dport, Protocol)

• Correspondência ACL avançada: endereço de origem 192.168.1.0/24, endereço de destino 192.168.2.1/32, negação de ação
• Se a fonte 192.168.1.1/32 acessar a rede de 192.168.2.1, o tráfego será negado através da lista vinculada a esta ACL.
• Se a fonte 192.168.3.1/32 acessar a rede de 192.168.2.1, ela passará pela lista vinculada a esta ACL.

3. Camada 2 ACL

Número ACL da camada 2: 4000~4999

O papel da ACL da camada 2: correspondência com base no MAC de origem, MAC de destino e outras informações da camada 2 do fluxo de dados

• Correspondência de ACL da camada 2: MACA de origem, MACB de destino, negação de ação
• Quando o MACA acessa o MACB, se a interface vinculada à ACL da Camada 2 passar, o tráfego será negado.
• Quando o MACC acessa o MACB, ele passa normalmente pela interface vinculada.

Configuração ACL (equipamento Huawei)

1. ACL básica/padrão

# 创建基本ACL
[Huawei]acl 2001
[Huawei-acl-basic-2001]

# 创建规则,不指定rule,基于默认步长自行增加
rule permit source 192.168.1.0 0.0.0.255
# 创建规则,指定rule
rule 1 permit source 192.168.1.0 0.0.0.255

# 删除规则,指定rule进行删除
[Huawei-acl-basic-2001]undo rule 5

2. ACL avançado

# 创建高级ACL
[Huawei]acl 3001
[Huawei-acl-adv-3001]

# 创建匹配源目地址规则
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

# 创建匹配源地址、源端口的指定流量
rule permit tcp source 192.168.1.0 0.0.0.255 source-port eq 80 
 
# 高级ACL可灵活组合源地址、目的地址、协议、源端口、目的端口进行流量的匹配。

3. Camada 2 ACL

# 创建二层ACL
[Huawei]acl 4000
[Huawei-acl-L2-4000]

# 创建匹配源MAC地址
rule permit source-mac 0011-2233-4455

# 创建匹配目的MAC地址
rule permit destination-mac 0011-2233-4455

# 创建匹配源MAC到目的MAC地址的流量
rule permit source-mac 0011-2233-4455 destination-mac 2233-4455-6677

Alguns pontos-chave da ACL

1. Curingas em ACL

• Quando o ACL é definido para corresponder ao endereço: número de série da regra permissão fonte 192.168.1.0 0.0.0.255 , o último 0.0.0.255 é o chamado curinga.
• A diferença entre curingas e anti-máscaras comuns
  • O anti-mask é geralmente usado no protocolo, e seu binário deve ser uma combinação contínua de 1 e 0.
  • Tais como: 0.0.0.0000 1111 (0.0.0.15=255.255.255.240 anti-máscara)
  • Os curingas podem ser combinações descontínuas de 1 e 0, em binário, 0 significa correspondência exata e 1 significa correspondência aleatória.
  • Tais como: 192.168.1.0 0.0.0.254

# 篇幅有点长，请静心观看。

192.168.1.0
0.0.0.254

1、0表示精确匹配，说明想匹配这个ACL必须满足路由前缀为：192.168.1

2、那么主机位0和通配符254的关系呢？
	0   = 0000 0000
	254 = 1111 1110
	前面提到，0为精确匹配，1为随意，也就是说想匹配这个ACL前缀为192.168.1的同时，
	主机位二进制的第8位还需要为0。

	随便拿个地址：192.168.1.3
	3 = 0000 0011
	很明显，3的二进制第8位不是0，所以并不能匹配这个192.168.1.0 0.0.0.254的ACL。
------
你可能会感觉疑惑，但其实并不难理解：
	192.168.1.0
	0.0.0.254
0为精确匹配，也就是说0对应的位置就是需要满足才行，因此得出192.168.1路由前缀
再者254的第8位2进制就是0，对应其主机地址的第8位，0的第8位二进制为0，
所以这个ACL需要地址满足192.168.1路由前缀同时，主机位第8位为0才能匹配上这个ACL。

• Aplicação Flexível de ACL Wildcards

• Aplique curingas para corresponder a números ímpares: corresponda a números ímpares no segmento de rede 192.168.1.0/24

  1、匹配的通配符如何写？
  匹配奇数，说明主机位二进制第8位必须为1。
  因为1、3、5...的第8位二进制都是1：
      1：0001
      3：0011
      5：0101
  通配符0为精确匹配，1为随意。
  那么通配符为254时，第8位为0，实现主机位的第8位的精确匹配。
  所以通配符匹配奇数这么写：0.0.0.254
  
  2、匹配的主机地址如何写？
  	已知主机二进制第8位必须是1，所以主机地址为192.168.1.1就好
  
  3、最终的ACL为：192.168.1.1 0.0.0.254
  

• Aplicar curingas para corresponder a números pares: corresponde a números pares no segmento de rede 192.168.1.0/24

  1、匹配的通配符如何写？
  匹配偶说明主机位二进制第8位必须为0。
  因为0、2、4...的第8位二进制都是0：
      0：0000
      2：0010
      4：0100
  通配符0为精确匹配，1为随意。
  那么通配符为254时，第8位为0，实现主机位的第8位的精确匹配。
  所以通配符匹配偶数这么写：0.0.0.254
  
  2、匹配的主机地址如何写？
  	已知主机二进制第8位必须是0，所以主机地址为192.168.1.0就好
  
  3、最终的ACL为：192.168.1.0 0.0.0.254
  

• Consolidação e melhoria (a resposta é anunciada no final do artigo)

  1、使用192.168.0.0地址匹配偶数网段(0.0、2.0、4.0...)，请问其通配符为：______
  
  2、使用192.168.0.0地址匹配偶数网段与偶数主机(0.0、0.2、2.0、2.4...)，请问其通配符为：______
  

2. Ações no ACL

• As únicas ações para ACL são Permit允许, Deny拒绝.
• Uma ação existe em uma ACL por padrão e sua ação tem diferentes regras padrão dependendo de onde a ACL é aplicada.
• Por exemplo: quando o ACL é usado para casar o tráfego em uma interface , 默认规则为允许ou seja, se não houver um fluxo de dados correspondente no ACL, ele será permitido por padrão.
• Por exemplo: quando o ACL é usado para filtragem de rota默认规则为拒绝 , o tráfego que não corresponder ao ACL será rejeitado.

3. Diferenças na definição da direção de aplicação do ACL

• Quando uma ACL é aplicada a uma função/política, não é necessário definir a direção, mas só é necessário definir a direção quando ela é aplicada a uma interface.

• As direções do ACL incluem a direção de entrada e a direção de saída .

• Defina a direção ACL para a interface Vlanif no switch:traffic-filter vlan 1 inbound acl 2000

• Defina a direção ACL para a interface de roteamento no roteador:traffic-filter inbound acl 2000

• Como determinar as direções de entrada e saída?

  • Definição de direção baseada em fluxo de dados

• Como a direção do aplicativo está relacionada à correspondência de ACL?

• Diferentes direções de interface de aplicativo podem filtrar rapidamente o tráfego e reduzir operações desnecessárias.

4. Número de série da regra no ACL

• Se o número da regra não for especificado, o tamanho padrão da etapa é 5.
• Modifique o tamanho do passo : step [1~20]Depois de modificar o tamanho do passo, o número de série original da lista começará com base no tamanho do passo e aumentará em ordem.

• A função de modificar o tamanho do passo : pode resolver o erro de regra e inserir uma nova regra modificando o tamanho do passo quando não houver lacuna de inserção.

Configuração de nomenclatura ACL

Não é fácil distinguir a função do ACL após a configuração numerada , mas o ACL configurado por nomenclatura resolverá efetivamente esse problema.

[Huawei]acl name <ACL名称> <ACL编号>

# 以ACL命名方式创建基本ACL：
	[Huawei]acl name jiben 2000
	[Huawei-acl-basic-jiben]

# 以ACL命名方式创建高级ACL：
	[Huawei]acl name gaoji 3000
	[Huawei-acl-adv-gaoji]

---

1、使用192.168.0.0地址匹配偶数网段(0.0、2.0、4.0...)，请问其通配符为：______
答案：
	192.168.0.0
	0.0.254.0
2、使用192.168.0.0地址匹配偶数网段与偶数主机(0.0、0.2、2.0、2.4...)，请问其通配符为：______
答案：
	192.168.0.0
	0.0.254.254