目录
[tip:RFC 1918私有地址空间](#tip:RFC 1918私有地址空间)
ACL的定义
ACL,中文名称是"访问控制列表",它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。
ACL的功能
1、ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
2、ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
3、ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
4、ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。又例如:某部门要求只能使用 WWW 这个功能,就可以通过ACL实现; 又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。
访问控制列表的调用方向
入:流量将要进入本地路由器,将被本地路由器处理
出:已经被本地路由器处理过了,流量将离开本地路由器策略做好后,在入接口调用和出接口调用的区别
入接口是对本地路由器生效
出接口对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效
访问控制列表类型
1、标准访问控制列表
只能基于源IP地址进行过滤
标准访问控制列表号是2000-2999
调用原则:靠近目标
2、扩展访问控制列表
可以根据源IP、目标IP,TCP/UDP协议,源、目端口号进行过滤
相比较标准访问控制列表,流量控制的更加进准
调用原则:靠近源
扩展访问控制列表号是3000-3999
访问控制列表的处理原则
1、路由条目只会匹配一次
2、路由条目在ACL访问列表中匹配顺序是从上往下匹配的
3、ACL访问控制列表隐含一个拒绝所有
4、ACL访问控制列表至少要放行一条路由条目
ENSP调用命令
ensp:traffic-filter outbound acl 2000 应用规则 路由器出方向就是outbound 进路由器就是inbound
rule deny icmp source 192.168.10 0.0.0.255 destination 192.168.3.30 0
rule:创建规则 固定格式
deny:拒绝
icmp:拒绝网络层ICMP协议
source:192.168.1.0
destination:目的地地址
rule permit tcp source 192.168.1.30 0 destination 192.168.3.30 0 destination-port
eq 80
rule:创建规则的固定格式
permit:允许tcp
source:192.168.3.30
destination:192.168.3.30
destination-port:目的端口号
eq 80:端口号为80
经典案例
案例一:
匹配192.168.1.1单个IP地址
acl 2000
rule 5 permit source 192.168.1.1 0
案例二:
匹配192.168.1.0/24整个网段的地址
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
案例三:
匹配192.168.1.0/24整个网段的地址,拒绝192.168.2.0/24网段的地址
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
rule 10 deny source 192.168.2.0 0.0.0.255
案例四:
匹配192.168.1.0,192.168.1.1,192.168.1.2,192.168.1.3
acl 2000
rule 15 permit source 192.168.1.0 0.0.0.3
ACL规则的标准是精确匹配,简化规则,虽然也可以写4条permit规则,但是地址过多的时候,工作量剧增,因此可以通过通配符整合为一条规则。
分析:
192.168.1.0 | 192.168.1.00000000 |
---|---|
192.168.1.1 | 192.168.1.00000001 |
192.168.1.2 | 192.168.1.00000010 |
192.168.1.3 | 192.168.1.00000011 |
通配符 | 0.0.0.3 |
由于4个地址的前30位都是不变的,只有后面两位是变动的,因此通配符位0.0.0.3
案例五:
匹配192.168.1.12------192.168.1.19
acl 2000
rule 5 permit source 192.168.1.12 0.0.0.3
rule 10 permit source 192.168.1.16 0.0.0.3
分析:
192.168.1.12 | 192.168.1.00001100 |
---|---|
192.168.1.13 | 192.168.1.00001101 |
192.168.1.14 | 192.168.1.00001110 |
192.168.1.15 | 192.168.1.00001111 |
192.168.1.16 | 192.168.1.00010000 |
192.168.1.17 | 192.168.1.00010001 |
192.168.1.18 | 192.168.1.00010010 |
192.168.1.19 | 192.168.1.00010011 |
由于12-15之间不变的位相同,16-19之间不变的位相同,由于是两个不同的不变位,所以没办法集合位一条规则进行匹配,因此需要两条规则。
12-15的前缀和通配符为:192.168.1.12 0.0.0.3
16-19的前缀和通配符为:192.168.1.16 0.0.0.3
案例六:
匹配192.168.1.0/24的奇偶数地址
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.254 ----仅匹配偶数地址
acl 2001
rule 5 permit source 192.168.1.1 0.0.0.254 ----仅匹配奇数地址
案例七:
匹配除了RFC1918以外的其他地址
acl number 2000
rule 5 deny source 10.0.0.0 0.0.0.255
rule 10 deny source 172.16.0.0 0.15.255.255
rule 15 deny source 192.168.0.0 0.0.255.255
rule 20 permit
tip:RFC 1918私有地址空间
因特网域名分配组织IANA组织(Internet Assigned Numbers Authority)保留了以下三个IP地址块用于私有网络。
10.0.0.0 - 10.255.255.255 (10/8比特前缀)
172.16.0.0 - 172.31.255.255 (172.16/12比特前缀)
192.168.0.0 - 192.168.255.255 (192.168/16比特前缀)