访问控制列表
**概念:**访问控制列表也叫做ACL,由一系列规则组合而成,访问控制列表通过这一系列规则对报文进行分类,从而使设备可以对不同类型的报文进行不同的处理动作。
A CL 工作原理
(1)根据事先设定好的报文匹配规则对经过该设备的报文进行匹配;(2)对匹配的报文执行事先设定好的动作;
ACL规则管理
(1)每条规则通过规则ID进行表示,规则ID可以自行设置,也可以由系统根据步长自动生成;
(2)CL规则按照规则ID从小到大的顺序依次匹配;
(3)ACL默认步长为5,可以修改。步长指的是规则ID之间的间隔。
ACL规则匹配过程
(1)配置了访问控制列表的设备在收到报文后,会将该报文与ACL中的规则进行逐条匹配;
(2)如果无法匹配当前规则,则继续匹配下一跳规则;
(3)一旦匹配上某条规则,则执行这条规则预设的动作,并且停止匹配;
(4)如果没有匹配上任意一条规则,则执行默认规则,默认规则为permit。
ACL的分类
(1)基本访问控制列表(简单访问控制列表)
(2)高级访问控制列表
(3)二层访问控制列表
(4)用户自定义访问控制列表
基本访问控制列表
只能基于IP的源IP地址、报文分片和时间信息来定义规则,编号范围为2000-2999.
基本ACL在应用时,尽量靠近目的接口上。
基本ACL的配置方法
(1)创建ACL列表
Acl 2000
(2)配置规则
Rule规则ID 动作 source 源IP地址/IP地址段 反掩码
(3)接口应用
进入对应接口视图
traffic-fitter 方向(数据包进方向(inbond)或者出方向(outbond)) ACL 2000
高级访问控制列表
高级访问控制列表可以根据IP报文的源IP地址、目的IP地址、协议字段的值、优先级、长度、TCP源端口、TCP目的端口、UDP源端口、UDP目的端口等信息来定义规则,编号范围为3000-3999。
高级ACL在应用时,尽量靠近源接口。
根据不同的协议类型,在配置ACL的规则时,有不同的参数组合;
当参数protocol(协议)为IP时,用来控制源和目的之间的允许或者禁止访问(所有的访问:icmp,http,ftp等),比如,允许/禁止源192.168.10.0/24访问192.168.20.0/24:rule 5 permit/deny ip source 源 IP 反掩码 destanation 目的 IP 反掩码;
当参数protocol(协议)为 ICMP时,用来控制源和目的之间的ping允许和禁止操作,比如:允许/禁止192.168.10.0/24ping192.168.20.0/24:rule 5 permit/deny icmp source 源 IP 反掩码 destanation 目的 IP 反掩码;
当参数protocol(协议)为 TCP时,用来控制源和目的之间某个应用或者/协议之间的允许或禁止访问,比如:允许/禁止源192.168.10.0/24访问192.168.20.1/32的http或者ftp或者/DNS:rule 5 permit/deny tcp source 源 IP 反掩码 destanation 目的 ip 反掩码 destanation 再port eq 80/21;
在这里有一些自己的拙见,关于在写规则时怎么写:
先写特殊的,再写大众的,一定要注意默认的(默认全通);
特殊:禁止192.168.10.0/24访问192.168.20.1/32的http服务;
大众:其他的都允许(除了192.168.10.0/24以外,其余的都可以访问192.168.20.1/32的http服务);
特殊:只允许192.168.10.0/24访问192.168.20.1/32的ftp服务;
大众:其他都禁止(禁止访问20.1的ftp服务)(rule deny tcp source any destanation 192.168.20.1 0 destation-port eq 21 )
ACL 的应用
(1)找接口:简单ACL找靠近目的网段的接口/高级ACL找靠近源的接口
(2)找方向:outbond或者inbond;
(3)在接口下调用流量过滤器:traffic-fifter inbond/outbond acl 3000/2000