ACL配置

第一章 ACL简介

一.1 ACL概述

网络设备为了过滤数据，需要设置一系列匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，根据预先设定的策略允许或禁止相应的数据包通过。ACL（Access Control List）可用于实现这些功能。

ACL（访问控制列表）是一种对经过网络设备的数据流进行判断、分类和过滤的方法。通常我们使用ACL实现对数据报文的过滤、策略路由以及特殊流量的控制。一个ACL中可以包含一条或多条针对特定类型数据包的规则，这些规则告诉网络设备，对于与规则中规定的选择标准相匹配的数据包是允许还是拒绝通过。

由ACL定义的数据包匹配规则，还可以被其它需要对流量进行区分的场合引用，如防火墙、QOS与队列技术、策略路由、数据速率限制、路由策略、NAT等。

一.2 ACL分类

访问控制列表分为多种类型：

1．基本ACL：只对源IP地址进行匹配。

2．扩展ACL：对源IP地址、目的IP地址、IP协议类型、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号、ICMP类型、ICMP Code、DSCP（DiffServ Code Point）、ToS、Precedence进行匹配。

3．二层ACL：对源MAC地址、目的MAC地址、源VLAN ID、二层以太网协议类型、802.1p优先级值进行匹配。

4．混合ACL：对源MAC地址、目的MAC地址、源VLAN ID、源IP地址、目的IP地址、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号进行匹配。

5．用户自定义ACL：对VLAN TAG的个数和偏移字节进行匹配。

一.3 ACL工作流程

下面以路由器为例说明ACL的基本工作过程。

图1.31 应用在出接口上的ACL

当ACL应用在出接口上时，工作流程如下：

首先数据包进入路由器的接口，根据目的地址查路由表，到转发接口（如果路由表中没有相应的路由条目，路由器会直接丢弃此数据包，并给源主机发送目的不可达消息）。确定外出接口后需要检查是否在外出接口上配置了ACL，如果没有配置ACL，路由器将做与外出接口数据链路层协议相同的2层封装，并转发数据。如果在外出接口上配置了ACL，则要根据ACL制定的原则对数据包进行判断，如果匹配了某一条ACL的判断语句并且这条语句的关键字是permit，则转发数据包；如果匹配了某一条ACL的判断语句并且这条语句

的关键字是deny，则丢弃数据包。

图1.32 应用于入接口的ACL

当ACL应用在入接口上时，工作流程如下：

当路由器的接口接收到一个数据包时，首先会检查访问控制列表，如果执行控制列表中有拒绝和允许的操作，则被拒绝的数据包将会被丢弃，允许的数据包进入路由选择状态。对进入路由选择状态的数据再根据路由器的路由表执行路由选择，如果路由表中没有到达目

标网络的路由，那么相应的数据包就会被丢弃；如果路由表中存在到达目标网络的路由，则数据包被送到相应的网络接口。

以上是ACL的简单的工作过程，简单的说明了数据包的经过路由器时，根据访问控制列表作相应的动作来判断是被接收还是被丢弃。在安全性很高的配置中，有时还会为每个接口配置自己的ACL，来为数据作更详细的判断。

接下来讨论ACL内部的具体处理过程。

图1.33 ACL内部匹配规则

每个ACL都是多条语句（规则）集合，当一个数据包要通过ACL的检查时首先检查ACL中的第一条语句。如果匹配其判别条件则依据这条语句所配置的关键字对数据包操作。如果关键字是permit则转发数据包，如果关键字是deny则直接丢弃此数据包。当匹配到一条语句后，就不会再往下进行匹配了，所以语句的顺序很重要。

如果没有匹配第一条语句的判别条件则进行下一条语句的匹配，同样如果匹配其判别条件则依据这条语句所配置的关键字对数据包操作。如果关键字是permit则转发数据包，如果关键字是deny则直接丢弃此数据包。

这样的过程一直进行，一旦数据包匹配了某条语句的判别语句则根据这条语句所配置的关键字或转发或丢弃。

如果一个数据包没有匹配上ACL中的任何一条语句则会被丢弃掉，因为缺省情况下每一个ACL在最后都有一条隐含的匹配所有数据包的条目，其关键字是deny。

ACL内部的处理过程总的来说，就是自上而下，顺序执行，直到到匹配的规则，然后根

据关键字拒绝或允许通过。

一.4 通配符

在ACL的判别条件中使用一个IP地址与通配符来指定匹配的范围。

通配符中为“0”的位代表被检测的数据包中的地址位必须与前面的IP地址相应位一致才被认为满足了匹配条件。

而通配符中为“1”的位代表被检测的数据包中的地址位是否与前面的IP地址相应位一致都认为满足了匹配条件。

如果要对特定主机进行匹配则需要匹配IP地址中所有位，所以通配符为0.0.0.0，代表必须匹配所有位才认为满足了匹配条件。

如果想指定匹配所有地址可使用IP地址与通配符为0.0.0.0 255.255.255.255，其中IP地址0.0.0.0代表所有网络地址，而通配符255.255.255.255代表不管数据包中的IP地址是什么都满足匹配条件。所以0.0.0.0 255.255.255.255意为接受所有地址并且可简写为any。

对于特定子网网段范围的匹配，其计算方式与子网划分与子网掩码的计算类似但“0”与“1”的含义相反。

第二章配置ACL

二.1 ACL配置思路

ACL的基本配置步骤：

1．定义ACL

2．配置ACL中的规则

3．应用ACL，如应用到接口（路由器/BRAS）或物理端口（交换机）

每个ACL都有一个用以识别的访问表号，它是一个数字，不同类型ACL的访问表号范围如下：

● 基本ACL：1~99，V2.6.03以上版本增加了一段1000~1499

● 扩展ACL：100~199，V2.6.03以上版本增加了一段1500~1999

● 二层ACL：200~299

● 混合ACL：300~349

● 用户自定义ACL：3000~3049

二.2 ACL配置命令聚氨酯墙板

下面分别介绍各种设备上ACL的基本配置命令。

二.2.1 交换机

二.2.1.1 标准ACL

1．定义一个标准ACL

命令格式	命令模式	命令功能
acl standard {number <acl-number>\|name <acl-name> \| alias <alias-name>} [match-order {auto \| config}]	全局模式	进入基本ACL配置模式

2．配置标准ACL中的规则

命令格式	命令模式	命令功能
rule <rule-no> {permit \| deny} {<source> [<source-wildcard>] \| any} [time-range <timerange-name>]	标准ACL配置模式	配置ACL中的规则

二.2.1.2 扩展ACL

1．定义一个扩展ACL

命令格式	命令模式	命令功能
acl extended {number <acl-number>\|name <acl-name>\| alias <alias-name>} [match-order {auto \| config}]	全局模式	进入扩展ACL配置模式

2．配置扩展ACL中的规则

命令格式	命令模式	命令功能
rule <rule-no> {permit\|deny} icmp {<source> <source-wildcard>\|any} {<dest> <dest-wildcard>\|any} [<icmp-type> [icmp-code <icmp-code>]] [precedence <pre-value>] [tos <tos-value>] [dscp <dscp-value>] [time-range <timerange-name>]	扩展ACL配置模式	定义基于ICMP的规则
rule <rule-no> {permit\|deny} {<ip-number> \| ip} {<source> <source-wildcard> \| any} {<dest> <dest-wildcard> \| any} [precedence <pre-value>] [tos <tos-value>] [dscp <dscp-value>] [time-range <timerange-name>]	扩展ACL配置模式	定义基于IP或IP协议号的规则（不包括ICMP、TCP、UDP）
rule <rule-no> {permit\|deny} tcp {<source> <source-wildcard>\|any} {<rule> <port>} {<dest> <dest-wildcard>\|any} [<rule> <port>] [established] [{[precedence <pre-value>] [tos <tos-value>] [dscp <dscp-value>] [tcp-control <tcp-control-value>] [time-range <timerange-name>]	扩展ACL配置模式	定义基于TCP的规则
rule <rule-no> {permit\|deny} udp {<source> <source-wildcard>\|any} {<rule> <port>} {<dest> <dest-wildcard>\|any} [<rule> <port>] [precedence <pre-value>] [tos <tos-value>] [dscp <dscp-value>] [time-range <timerange-name>]	扩展ACL配置模式	定义基于UDP的规则

二.2.1.3 二层ACL

1．定义一个二层ACL

命令格式	命令模式	命令功能
acl link {number <acl-number>\|name <acl-name>\| alias <alias-name>} [match-order {auto \| config}]	全局模式	进入二层ACL配置模式

2．配置二层ACL中的规则

命令格式	命令模式	命令功能
rule <rule-no> {permit\|deny} <protocol> [cos <cos-vlaue>] dinvlan <dinvlan-vlaue>] [doutervlan <doutervlan-vlaue>] [ingress {<source-mac> <src-mac-wildcard> \| any}] [egress {<destination-mac> <est-mac-wildcard> \| any}] [time-range <timerange-name>]	二层ACL配置模式	配置ACL中的规则

二.2.1.4 混合ACL

1．定义一个混合ACL

融合调度指挥通信系统

命令格式	命令模式	命令功能
acl hybrid {number <acl-number>\|name <acl-name> \| alias <alias-name>}	全局视音频切换器	进入混合ACL配置模式

2．配置混合ACL中的规则

命令格式	www.44base命令模式	命令功能
rule <rule-no> {permit\|deny} <protocol-number导电泡棉的作用> {{<source-ip> <source-ip-wildcard>}\|any} {{<destination-ip> <dest-ip-wildcard>}\|any} [eq <port-number>] {<ethernet-protocol-number>\| any \|arp \| ip} [cos \| dinvlan \| 1-甲基环戊醇doutervlan \| egress \| ingress \| time-range]	混合ACL配置模式	配置ACL中的规则

二.2.1.5 用户自定义ACL

本文发布于:2024-09-21 22:27:48，感谢您对本站的认可！

本文链接：https://www.17tex.com/tex/1/211105.html

上一篇：txt常用正则表达式

下一篇：什么是最长掩码匹配

标签：匹配数据包配置路由进行接口规则

留言与评论（共有 0 条评论）