HCIA学习记录(五)[ACL访问控制列表]
HCIA学习记录(五)[ACL访问控制列表]
随着网络的飞速发展,网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。 ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
一、ACL概述
- ACL是一个匹配工具,能够对报文进行匹配和区分,用于实现流量过滤(有限的互访)。
- ACL是由一系列
permit或deny语句组成的、有序规则的列表。
ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具; ACL还能够用于匹配路由条目。
二、ACL的基本概念及其工作原理
2.1 ACL的组成
ACL编号:
在网络设备上配置ACL时,每个ACL都需要分配一个编号,称为ACL编号,用来标识ACL。不同分类的ACL编号范围不同。
规则:
前面提到了,一个ACL通常由若干条“
permit/deny”语句组成,每条语句就是该ACL的一条规则。 华为隐藏默认规则是premit。(思科是deny)规则编号:
每条规则都有一个相应的编号,称为规则编号,用来标识ACL规则。可以自定义,也可以系统自动分配。ACL规则的编号范围是0~4294967294,所有规则均按照规则编号从小到大进行排序。
步长:
每个编号之间的差值,默认为5,方便旧规则之间插入新的规则。
动作:
每条规则中的
permit或deny,就是与这条规则相对应的处理动作。permit指“允许”,deny指“拒绝”,但是ACL一般是结合其他技术使用,不同的场景,处理动作的含义也有所不同。 比如:ACL如果与流量过滤技术结合使用(即流量过滤中调用ACL),permit就是“允许通行”的意思,deny就是“拒绝通行”的意思。匹配项:
ACL定义了极其丰富的匹配项。例子中体现的源地址,ACL还支持很多其他规则匹配项。例如,二层以太网帧头信息(如源MAC、目的MAC、以太帧协议类型)、三层报文信息(如目的地址、协议类型)以及四层报文信息(如TCP/UDP端口号)等。
1 | |
通配符:
2
3
4
5
6
7```
精确匹配192.168.1.1这个IP地址:
192.168.1.1 0.0.0.0 = 192.168.1.1 0
匹配所有IP地址:
0.0.0.0 255.255.255 = any
```
2.2 ACL的分类与标识
- 基于ACL规则定义方式的分类
分类
编号范围
规则定义描述
基本ACL
2000~2999
仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。
高级ACL
3000~3999
可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。
二层ACL
4000~4999
使用报文的以太网帧头信息来定义规则,如根据源MAC地址、目的MAC地址、二层协议类型等。
用户自定义ACL
5000~5999
使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。
用户ACL
6000~6999
既可使用IPv4报文的源IP地址或源UCL(User Control List)组,也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。
- 基于ACL标识方法的分类
分类
规则定义描述
数字型ACL
传统的ACL标识方法。创建ACL时,指定一个唯一的数字标识该ACL。
命名型ACL
通过名称代替编号来标识ACL。
2.3 ACL的匹配机制
ACL的匹配机制概括来说就是:
- 配置ACL的设备接收报文后,会将该报文与ACL中的规则逐条进行匹配,如果不能匹配上,就会继续尝试去匹配下一条规则。
- 一旦匹配上,则设备会对该报文执行这条规则中定义的处理动作,并且不再继续尝试与后续规则匹配。
配置顺序(config模式)
系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。
基本ACL定义的是源地址,尽量靠近源配置。高级ACL尽量靠近目的地配置,一网打尽。
ACL的入站与出站:
