ACL（云计算随笔）

ACL（云计算随笔）

ACL访问控制列表

一、ACL概述

访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤

二、ACL的工作原理

当数据包从接口经过时，由于接口启用了ACL，此时路由器会对报文进行检查，然后做出相应的处理

1.ACL在接口应用的方向

出：已经过路由器的处理，正离开路由器接口的数据包 入：已到达路由器接口的数据包，将被路由器处理

列表应用到接口的方向与数据方向有关

2.ACL的处理过程

3.ACL种类和应用原则

基本acl（2000-2999）：只能匹配源IP地址 <尽量用在靠近目的点>

高级acl（3000-3999）：可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段和协议。 <尽量用在靠近源的地方（可以保护宽带和其他资源）>

三、应用规则

一个接口一个接口的同一个方向，只能调用一个acl 一个acl里面可以有多个rule 规则，按照规则ID从小到大排序，从上往下依次执行 数据包一旦被某rule匹配，就不再继续向下匹配 用来做数据包访问控制时，默认隐含放过所有（华为设备）

四、ACL命令

基本ACLacl number 2000rule 5 deny source 192.168.1.1 0 //拒绝源地址为192.168.1.1的流量，0代表仅此一台，5是这条规则的序号（可不加）interface gigabitethernet 0/0/1ip address 192.168.2.254 24traffic-filter outbound cal 2000 //接口出方向调用cal 2000，outbound代表出方向，inbound 代表进入方向undo shu

cal number 2001 //进入cal 2001 列表rule permit source 192.168.1.0 0.0.0.255 ///permit代表允许，source代表来源，掩码部分为反掩码rule deny source any/rule deny ///拒绝所有访问，any代表所有 0.0.0.0 255.255.255.255interface GigabitEthernet 0/0/1 ///进入出口接口ip address 192.1668.2.254 24traffic-filter outbound acl 2001

高级ACLacl number 3000rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 ///拒绝pingrule permit tcp source 192.168.1.3 0 destination-port eq 21 ///destination代表目的地地址，destination-port代表目的端口号，80可用WWW代替rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80

rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21 ///拒绝源地址192.168.10.0网段访问FTP服务器12.0.0.2dis this ///查看当前ACL配置是否配置成功

interface g0/0/0ip address 192.168.2.254 24traffic-filter inbound acl 3000 ///在接口入方向应用acl

undo traffic-filter inbound ///在接口上取消acl的应用

display acl 3000 ///显示acl配置

undo acl number 3000 ///删除整个ACL

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。