ACL最全详解:原理及作用、分类及特点、配置及需求
ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。
为什么需要ACL?
根据规则过滤的ACL,能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等的功能,从而提高网络环境的安全性和网络传输的可靠性。
ACL是怎么工作的?
ACL工作主要是根据规则进行,ACL规则里包括他的规则编号(顺序),动作(允许或者拒绝)规则匹配的地址段(源/源-目的)生效时间段
技术干货!
1、ACL分类
基于ACL规则定义方式的划分,可分为:
基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL。
基于ACL标识方法的划分,则可分为:
数字型ACL和命名型ACL。
注意:用户在创建ACL时可以为其指定编号,不同的编号对应不同类型的ACL。同时,为了便于记忆和识别,用户还可以创建命名型ACL,即在创建ACL时为其设置名称。命名型ACL,也可以是“名称 数字”的形式,即在定义命名型ACL时,同时指定ACL编号。如果不指定编号,系统则会自动为其分配一个数字型ACL的编号。
通过名称代替编号来定义ACL,就像用域名代替IP地址一样,可以方便记忆,也让大家更容易识别此ACL的使用目的。
基本ACL:
主要针对IP报文的源IP地址进行匹配,基本ACL的编号范围是2000-2999。
比如这个例子,创建的是acl 2000,就意味着创建的是基本ACL。
高级ACL:
可以根据IP报文中的源IP地址、目的IP地址、协议类型,TCP或UDP的源目端口号等元素进行匹配,可以理解为:基本ACL是高级ACL的一个子集,高级ACL可以比基本ACL定义出更精确、更复杂、更灵活的规则。
ACL
一条ACL可以由多条“deny或permit”语句组成,每一条语句描述一条规则,这些规则可能存在包含关系,也可能有重复或矛盾的地方,因此ACL的匹配顺序是十分重要的。
华为设备支持两种匹配顺序:自动排序(auto模式)和配置顺序(config模式)。缺省的ACL匹配顺序是config模式。
自动排序,是指系统使用“深度优先”的原则,将规则按照精确度从高到低进行排序,并按照精确度从高到低的顺序进行报文匹配。——这个比较复杂,这里就不具体展开了,感兴趣的同学可以课后查看资料。
配置顺序,系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。——这个就是我们前面提到的匹配顺序。
如果后面又添加了一条规则,则这条规则会被加入到相应的位置,报文仍然会按照从小到大的顺序进行匹配。
匹配结果:(如图所示,以192.168.1.3/24为例)
首先理解ACL 2000的含义:
rule 1:允许源IP地址为192.168.1.1的报文
rule 2:允许源IP地址为192.168.1.2的报文
rule 3:允许源IP地址为192.168.1.2的报文
rule 4:拒绝其他所有IP地址的报文
ACL怎么配?
配置需求:
在Router上部署基本ACL后,ACL将试图穿越Router的源地址为192.168.1.0/24网段的数据包过滤掉,并放行其他流量,从而禁止192.168.1.0/24网段的用户访问Router右侧的服务器网络。
在Router上创建基本ACL,禁止192.168.1.0/24网段访问服务器网络:
[Router] acl 2000
[Router-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255
[Router-acl-basic-2000] rule permit source any
由于从接口GE0/0/1进入Router,所以在接口GE0/0/1的入方向配置流量过滤:
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] traffic-filter inbound acl 2000
[Router-GigabitEthernet0/0/1] quit
ACL最全详解:原理及作用、分类及特点、配置及需求相关推荐
- 前端:深拷贝的多种方法(超全详解)
别划走 !走过路过不要错过:错过这个村,我在下一个村等你!坚持每天进步一点点:一天两天可能没发现有效果:但一年365天后你将会感谢今天的自己!!! 今天博主带大家了解一下前端常用的深拷贝方法:(超全详 ...
- 人工智能里程碑ChatGPT之最全详解图解
人工智能里程碑ChatGPT之最全详解图解 1. ChatGPT的前世今生 1.1 ChatGPT演化路线 1.2技术推进路线 2.ChatGPT主要功能及应用领域 2.1 主要功能 2.2 应用领域 ...
- MSTP详解- 原理篇
MSTP详解-原理篇 一. MSTP产生背景 二. MSTP基本概念 三.MSTP端口角色 四.MSTP的端口状态与收敛机制 五. MSTP 拓扑计算原理 5.1 MSTP 向量优先级 5.2 CIS ...
- Jar包详解和META-INF作用(…
原文地址:Jar包详解和META-INF作用(创建可执行jar文件)--转帖作者:玉琪星兆 如 何把 Java 程序编译成 .exe 文件.通常回答只有两种,一种是制作一个可执行的 JAR 文件包,然 ...
- STP和RSTP详解-原理篇
STP和RSTP详解-原理篇 一.STP 1.1 STP基本概念 1.2 STP三个定时器 1.3 STP BPDU报文 1.3.1 配置 BPDU 1.3.2 TCN BPDU 1.3.3 BPDU ...
- MySQL语句最全详解
文章目录 MySQL语句最全详解 一.常见sql语句用法与演示 前置条件 连接命令 1.常用数据库类型 2.数据约束(数据表中) 3.数据库的备份和还原 二.操作数据库(操作数据库之前要通过命令行工具 ...
- JVM常量池最全详解-常量池/运行时常量池/字符串常量池/基本类型常量池,看这一篇就够了
JVM常量池最全详解-常量池/运行时常量池/字符串常量池/基本类型常量池,看这一篇就够了! 常量池详解 1. 字面量和符号引用 1.1 字面量 1.2 符号引用 2. 常量池vs运行时常量池 3. 常 ...
- 21.ACL 访问控制权限详解,setfacl,getfacl,setfacl -m,setfacl -d,setfacl -k,setfacl -x,mask等实操详解
ACL 访问控制权限详解,setfacl,getfacl,setfacl -m,setfacl -d,setfacl -k,setfacl -x,mask等实操详解 文章目录 ACL (访问控制权限) ...
- Linux-shell-完全详解
Linux-shell-完全详解(1) 一. Shell简介:什么是Shell,Shell命令的两种执行方式1 二. 几种常见的Shell1 三. Shell脚本语言与编译型语言的差异2 四.什么时候 ...
最新文章
- Oracle 触发器(上)
- 二叉查找树 平衡二叉查找树 红黑树 b树 b+树 链表 跳表 链表
- 同一台服务器上面安装多个mysql数据库
- SAP UI5 JavaScript文件的lazy load - 懒加载
- QT中DirectShowPlayerService::doSetUrlSource: Unresolved error code 0x80040216 ()问题的解决
- linux sem函数,linux下信号量及其SEM_UNDO标志
- python中凯撒密码加密_凯撒密码加密
- git version可以卸载吗_sourcetree使用:问题是有推送提示,但显示为空。原因:git版本过低...
- 【渝粤教育】电大中专职业生涯规划作业 题库
- 一个大四毕业生想对自学Android的大学生说一些话
- DaVinci Resolve Studio 17.4 for Mac(达芬奇剪辑调色软件)
- es 怎么验证是否安装成功_ElasticSearch(ES)预警服务 Watcher安装以及探究
- 《黑客秘笈——渗透测试实用指南(第2版)》—第1章1.6学习
- php 编译指定libiconv,PHP升级编译出错 libiconv_open及 apache libiconv
- stm32f207/stm32f407擦除内部flash讲解
- 银河麒麟系统10服务器安装教程,麒麟系统下安装win10的详细教程
- 固定在计算机主机箱体上的起到连接计算机,固定在计算机主机箱箱体上的、起到连接计算机各种部件的纽带和桥梁作用的是( )。...
- matlab拷贝不进u盘,Mac无法拷贝文件到U盘怎么办
- 文件目录自动生成工具--Dir Tree Noter
- 悟空crm客户管理,KSOA系统集成呼叫中心系统融合