ACL
ACL:
access control list ,訪問控制列表,用於匹配感興趣的
流量,並進行“控制”;
-作用:
用於實現對數據報文的控制;
-類型:
標準
-只能匹配 IP 頭部中的 源IP 地址;
擴展
-可以同時匹配 IP 頭部中的 源和目標 IP 地址,
同時,還可以匹配 傳輸層協議;
-表示:
ID,通過不同範圍的ID,表示 ACL 的不同類型;
標準 - 1~99
擴展 - 100~199
word ,通過名字,表示 ACL (項目中常用方法)
通過 名字 區分不同的 ACL 時候,在創建之初,
必須提前指定 ACL 的類型;
例如:
ip access-list standard "name"
ip access-list extended "name"
-配置:
創建ACL
ip access-list standard ABC 10 deny 192.168.1.0 0.0.0.255
調用ACL
interface gi0/1
ip access-group ABC in
驗證ACL
show ip access
show ip interface gi0/1
測試
PC-1 ----> PC-3
192.168.1.1 --> 192.168.2.3
-工作原理:
當端口在特定的方向收到流量以後,開始進行特定方向
上的 ACL 條目的檢查,規則如下:
1、ACL如果多個條目,則按照每個條目的序列號從小
到大依次檢查、匹配:
2、首先檢查數據包的源頭IP地址,是否可以匹配;
如果不可以,則檢查下一個 ACL 條目;
如果可以,則繼續(3)
3、其次檢查數據包的目標IP地址,是否可以匹配;
如果不可以,則檢查下一個 ACL 條目;
如果可以,則繼續(4)
4、再次檢查數據包的IP後面的協議的類型,是否可以匹配
如果不可以,則檢查下一個 ACL 條目;
如果可以,則繼續(5)
5、查看 該 ACL 條目的 動作 : permit / deny ;
6、確定 該 ACL 調用在端口的什麼方向?
如果是 out,則表示允許/拒絕 轉發出去;
如果是 in , 則表示允許/拒絕 轉發進來;
注意:
ACL 條目 是按照序列號從小到大,逐條目檢查的;
如果該條目沒有匹配住,則匹配下一個條目;
如果該條目匹配主了,則執行上面的(5,6)作用;
每個 ACL 後面都有一個隱含的拒絕所有。
針對 標準/擴展 ACL 的 “允許” 所有,配置命令如下:
標準ACL -
ip access-list standard Permit 10 permit any
擴展ACL -
ip access-list extended Permit 10 permit ip any any
**** 在現網中,對ACL進行創建、修改、刪除之前,都要
查看一下當前設備上是否存在對應的 ACL 以及調用情況
ACL調用建議:
1、如果想通過標準 ACL ,拒絕訪問某一個目標主機,
則將 ACL 調用在距離目標主機儘可能近的地方;
2、如果想通過標準 ACL ,控制某一個源IP地址主機
的上網行爲,則將調用在距離源IP地址主機儘可能近的地方
3、擴展 ACL 應該調用在距離 源主機 儘可能近的地方;
因爲擴展 ACL 可以精確的區分不同類型的流量;
通過 ACL 控制流量 的 配置思路:
1、先分析原有數據流的走向
2、確定轉發路徑上的設備 (確定路由設備)
3、確定在哪些設備的、哪些端口的、哪些方向上
4、確定 ACL 如何寫
5、確定 如何調用
6、驗證和測試
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.