ACL原理与配置

简介: ACL原理与配置

ACL概述

ACL是由一系列permit和deny语句组成的,有序规则的列表

ACL是一个匹配工具,能够对报文进行匹配和区分。

ACL规则编号

缺省情况下,步长为5

ACL匹配规则是按顺序从上往下匹配的,5-10-15

系统在ACL末尾隐含的一条规则:

rule 4294967294 deny

例如,流策略中的ACL默认动作是permit,在流策略中应用ACL时,如果ACL中存在规则但报文未匹配上,该报文仍可以正常通过。而Telnet中的ACL默认动作是deny,在Telnet中应用ACL时,如果遇到此种情况,该报文会被拒绝通过。

意思就是如果没有匹配前面的规则,那么就会匹配最后一条规则。

通配符(Wildcard)

通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特位需要严格匹配,哪些比特位无需匹配。

通配符通常采用类似网络掩码的点分十进制形式表示,但是含义却与网络掩码完全不同。

“0”表示严格匹配,“1”表示随机匹配

比如

acl number 2000

rule  5  deny  source  10.1.1.1 0

rule  10  deny  source  10.1.1.2 0

rule  15  permit  source  10.1.1.0 0.0.0.255

10.1.1.1 0 0代表0.0.0.0,也就是说10.1.1.1必须严格匹配,指定的IP地址。

10.1.1.0 0.0.0.255,也就是说,10.1.1必须严格匹配,0可以随机匹配

通配符是反掩码吗?

1、通配符 可以是不连续的0或者1!0.0.4.254----->0.0.0000 0100.1111 1110

2、反掩码必须是连续的0和1!255.255.255.0---->0.0.0.255

如果10.1.1.0/24,只匹配主机位为奇数的呢?

那么通配符就写成,1.1.1.1 0.0.0.254

偶数的话就是,1.1.1.0 0.0.0.254

以此类推

#rule 1 deny ip source  172.16.1.0  0.0.0.7

这一条ACL又是覆盖了哪些段呢?我们不妨将上面的IP和通配符掩码都转化二进制来看看:

172.16.1.0 10101100.00010000.00000001.00000000

0.0.0.7 00000000.00000000.00000000.00000111

172.16.1.0:10101100.00010000.00000001.00000000

0.0.0.7:      00000000.00000000.00000000.00000111

换算成:      10101100.00010000.00000001.00000XXX

XXX可以为0或1,全为1时,00000111=7,带上全0时,共有8个地址

所以这个地址匹配的是172.16.1.0-172.16.1.7

基本ACL和高级ACL

基本ACL

编号范围2000~2999

只能匹配源IP地址

高级ACL

编号范围3000~3999

可以匹配源目IP地址,地址协议类型,源目端口号

基本ACL部署时候尽可能靠近源IP地址。

高级ACL部署时候尽可能靠近目的IP地址。

ACL的匹配机制

permit deny 和不匹配

引用的ACL不存在或者ACL不存在rule,结果都会是不匹配。

如果命中第一条rule,动作是permit则结果为允许,deny为拒绝。

如果没有命中第一条,则查看是否有剩余rule,有就分析下一条,没有就匹配结果为不匹配。

匹配中ACL规则后,数据最终要怎么样,要根据表格处理;

各类业务模块中的ACL默认动作及ACL处理机制,如表2所示。

ACL默认处理机制点击即可查看

相关文章
|
2月前
|
Apache 数据安全/隐私保护
HAProxy的高级配置选项-ACL篇之基于源地址访问控制案例
这篇文章介绍了HAProxy的ACL(访问控制列表)功能,特别是如何基于源地址进行访问控制的高级配置选项,并通过实战案例展示了如何配置ACL规则以允许或阻止特定IP地址或IP范围的访问。
54 7
HAProxy的高级配置选项-ACL篇之基于源地址访问控制案例
|
6月前
|
网络协议 数据安全/隐私保护 网络架构
标准ACL,扩展ACL,基本ACL,高级ACL
标准ACL,扩展ACL,基本ACL,高级ACL
260 0
|
数据安全/隐私保护
acl简单实验配置
acl简单实验配置
130 0
|
网络协议 网络安全 数据安全/隐私保护
基本ACL和扩展ACL
基本ACL和扩展ACL
368 0
|
数据安全/隐私保护
访问控制列表 扩展ACL+命名ACL+实战小实验
访问控制列表 扩展ACL+命名ACL+实战小实验
117 0
访问控制列表 扩展ACL+命名ACL+实战小实验
|
网络协议 网络虚拟化 网络架构
路由与交换系列高级IP ACL特性与配置实验
• 掌握高级 IP ACL的原理 • 掌握ACL在企业网络中的应用 • 掌握高级IP ACL的配置方式 • 掌握高级IP ACL的验证效果
332 1
|
网络协议 网络虚拟化 网络架构
路由与交换系列高级IP ACL特性与配置实验二
• 掌握高级 IP ACL的原理 • 掌握ACL在企业网络中的应用 • 掌握高级IP ACL的配置方式 • 掌握高级IP ACL的验证效果
227 1
|
网络协议 网络安全 网络虚拟化
配置扩展ACL
要求: 配置全网通 配置扩展ACL 实现 只允许网管区 2.0 网段通过telnet 登录 设备 用户名为benet 密码为 test 只有网络管理员才能访问远程桌面 telnet ssh 登录 服务器 要求所有部门之间不能互通 但可以和网络管理员互通 公司信息安全员 可以访问服务器但不能 访问internet 外网只能访问特定服务器的特定服务
188 0
配置扩展ACL
|
网络协议 数据安全/隐私保护 网络架构
CCNA-ACL(访问控制列表)标准ACL 扩展ACL 命名ACL(上)
CCNA-ACL(访问控制列表)标准ACL 扩展ACL 命名ACL(上)
183 0
CCNA-ACL(访问控制列表)标准ACL 扩展ACL 命名ACL(上)
|
网络协议 数据安全/隐私保护
ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。
ACL访问控制列表、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。ACL匹配机制详解。ACL的分类与标识,各种ACL的作用区别
ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。