ACL的应用与ENSP配置

目录

ACL的定义

ACL的功能

访问控制列表的调用方向

访问控制列表类型

1、标准访问控制列表

2、扩展访问控制列表

访问控制列表的处理原则

ENSP调用命令

经典案例

[tip:RFC 1918私有地址空间](#tip:RFC 1918私有地址空间)


ACL的定义

ACL,中文名称是"访问控制列表",它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。

ACL的功能

1、ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。

2、ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。

3、ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。

4、ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。又例如:某部门要求只能使用 WWW 这个功能,就可以通过ACL实现; 又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。

访问控制列表的调用方向

入:流量将要进入本地路由器,将被本地路由器处理

出:已经被本地路由器处理过了,流量将离开本地路由器策略做好后,在入接口调用和出接口调用的区别

入接口是对本地路由器生效

出接口对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效

访问控制列表类型

1、标准访问控制列表

只能基于源IP地址进行过滤

标准访问控制列表号是2000-2999

调用原则:靠近目标

2、扩展访问控制列表

可以根据源IP、目标IP,TCP/UDP协议,源、目端口号进行过滤

相比较标准访问控制列表,流量控制的更加进准

调用原则:靠近源

扩展访问控制列表号是3000-3999

访问控制列表的处理原则

1、路由条目只会匹配一次

2、路由条目在ACL访问列表中匹配顺序是从上往下匹配的

3、ACL访问控制列表隐含一个拒绝所有

4、ACL访问控制列表至少要放行一条路由条目

ENSP调用命令

ensp:traffic-filter outbound acl 2000 应用规则 路由器出方向就是outbound 进路由器就是inbound

复制代码
rule deny icmp source 192.168.10 0.0.0.255 destination 192.168.3.30 0
rule:创建规则 固定格式
deny:拒绝
icmp:拒绝网络层ICMP协议
source:192.168.1.0
destination:目的地地址
复制代码
rule permit tcp source 192.168.1.30 0 destination 192.168.3.30 0 destination-port
eq 80
rule:创建规则的固定格式
permit:允许tcp
source:192.168.3.30
destination:192.168.3.30
destination-port:目的端口号
eq 80:端口号为80

经典案例

案例一:

匹配192.168.1.1单个IP地址

复制代码
acl 2000
rule 5 permit source 192.168.1.1 0 

案例二:

匹配192.168.1.0/24整个网段的地址

复制代码
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255

案例三:

匹配192.168.1.0/24整个网段的地址,拒绝192.168.2.0/24网段的地址

复制代码
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
rule 10 deny source 192.168.2.0 0.0.0.255

案例四:

匹配192.168.1.0,192.168.1.1,192.168.1.2,192.168.1.3

复制代码
acl 2000
rule 15 permit source 192.168.1.0 0.0.0.3

ACL规则的标准是精确匹配,简化规则,虽然也可以写4条permit规则,但是地址过多的时候,工作量剧增,因此可以通过通配符整合为一条规则。

分析:

192.168.1.0 192.168.1.00000000
192.168.1.1 192.168.1.00000001
192.168.1.2 192.168.1.00000010
192.168.1.3 192.168.1.00000011
通配符 0.0.0.3

由于4个地址的前30位都是不变的,只有后面两位是变动的,因此通配符位0.0.0.3

案例五:

匹配192.168.1.12------192.168.1.19

复制代码
acl 2000
    rule 5 permit source 192.168.1.12 0.0.0.3 
    rule 10 permit source 192.168.1.16 0.0.0.3 

分析:

192.168.1.12 192.168.1.00001100
192.168.1.13 192.168.1.00001101
192.168.1.14 192.168.1.00001110
192.168.1.15 192.168.1.00001111
192.168.1.16 192.168.1.00010000
192.168.1.17 192.168.1.00010001
192.168.1.18 192.168.1.00010010
192.168.1.19 192.168.1.00010011

由于12-15之间不变的位相同,16-19之间不变的位相同,由于是两个不同的不变位,所以没办法集合位一条规则进行匹配,因此需要两条规则。

12-15的前缀和通配符为:192.168.1.12 0.0.0.3

16-19的前缀和通配符为:192.168.1.16 0.0.0.3

案例六:

匹配192.168.1.0/24的奇偶数地址

复制代码
acl 2000
    rule 5 permit source 192.168.1.0 0.0.0.254 ----仅匹配偶数地址
acl 2001
    rule 5 permit source 192.168.1.1 0.0.0.254 ----仅匹配奇数地址

案例七:

匹配除了RFC1918以外的其他地址

复制代码
acl number 2000  
 rule 5 deny source 10.0.0.0 0.0.0.255 
 rule 10 deny source 172.16.0.0 0.15.255.255 
 rule 15 deny source 192.168.0.0 0.0.255.255 
 rule 20 permit 

tip:RFC 1918私有地址空间

因特网域名分配组织IANA组织(Internet Assigned Numbers Authority)保留了以下三个IP地址块用于私有网络。

10.0.0.0 - 10.255.255.255 (10/8比特前缀)

172.16.0.0 - 172.31.255.255 (172.16/12比特前缀)

192.168.0.0 - 192.168.255.255 (192.168/16比特前缀)

相关推荐
PyAIGCMaster13 分钟前
python环境中,敏感数据的存储与读取问题解决方案
服务器·前端·python
dessler32 分钟前
云计算&虚拟化-kvm创建网桥(bridge)
linux·运维·云计算
何曾参静谧42 分钟前
「Py」模块篇 之 PyAutoGUI库自动化图形用户界面库
运维·python·自动化
麻花20131 小时前
WPF学习之路,控件的只读、是否可以、是否可见属性控制
服务器·前端·学习
一只哒布刘2 小时前
RHCE-DNS域名解析服务器
运维·服务器
HUODUNYUN2 小时前
小程序免备案
网络·web安全·小程序·1024程序员节
千城丶Y2 小时前
GoogleCloud服务器的SSH连接配置
服务器·ssh·googlecloud
速盾cdn2 小时前
速盾:如何有效防止服务器遭受攻击?
网络·安全·web安全
华纳云IDC服务商2 小时前
怎么选择香港服务器的线路?解决方案
服务器·网络·香港服务器
sss-web12262 小时前
4.远程访问及控制
运维·服务器