ACL原理与配置

1、技术背景

需要一个工具，实现流量过滤

2、ACL概述

由一系列permit或deny语句组成的有顺序的规则的集合，ACL可以通过匹配IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等；还可以匹配路由条目

3、ACL的组成

编号、规则、规则编号、动作、匹配项

3.1 匹配项

二层以太网帧头信息（源目的MAC地址、以太帧协议类型）、三层报文信息（源目的IP地址、协议类型）、四层报文信息（TCP/UDP端口）

3.2 步长

两条规则编号之间的差值，默认为5

3.3通配符

当对IP地址进行匹配时，后面跟着32位反网络掩码，0表示匹配，1表示不关心，当通配符全为0来匹配时，表示精确匹配到某个IP地址，当通配符全为1来匹配时，表示匹配了所有IP地址

4、ACL的分类

4.1 基本ACL（2000-2999）

仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则

4.2 高级ACL（3000-3999）

可使用源目的IP地址、IP协议类型、ICMP类型、TCP源目的端口号、UDP源目的端口号、生效时间段来定义规则

4.3 二层ACL（4000-4999）

使用源目的MAC地址、二层协议类型

4.4 用户自定义ACL（5000-5999）

使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则

4.5 用户ACL（6000-6999）

既可使用源IP地址或源UCL组，也可使用目的IP地址或目的UCL组、IP协议类型、ICMP协议类型、TCP源目的端口、UDP源目的端口来定义规则

5、匹配流程

5.1 查询是否配置ACL

否返回匹配结果为不匹配

是查看是否与规则匹配

否返回匹配结果为不匹配

是停止匹配并返回匹配结果为匹配

5.2 入站（inbound）及出站（Outbound）方向

根据ip数据包去与回时的源目的IP地址，选择在入站或出站应用ACL

整理： 毛尚杰、陈诺、江泽明、梁文婷

排版： 何颖连

审核： 蔡宗唐

点击下方“正月十六工作室”查看更多学习资源

转载地址：http://wkfsf.baihongyu.com/

你可能感兴趣的文章