前文我們瞭解了DHCP服務相關話題,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/15147870.html;今天我們來聊一聊訪問控制列表ACL;
ACL(access control list)是一款流量過濾工具,它能針對特定的流量資料包做拒絕或允許操作;本質上講ACL是最早的包過濾防火牆;它能根據我們定義的規則將資料包進行分類,並針對不同型別的資料包進行不同的處理,從而實現針對網路訪問行為的控制、限制網路流量、提高網路效能和防止網路攻擊;
提示:ACL主要針對三層ip包頭裡的源地址和目標地址以及四層TCP包頭的源埠和目標埠來分類過濾資料包,我們可以根據這四個元素任意組合定義不同的規則;當然對於二層資料鏈路層也可根據源mac和目標mac、vlan id等來制定規則;
ACL應用場景
提示:我們可以通過制定ACL規則實現允許或拒絕流量通過;如上圖我們可以允許192.168.1.0/24這個網段裡的主機可以正常訪問網際網路,但不允許訪問伺服器A;對於192.168.2.0/24這個網路裡的主機允許訪問伺服器A,但拒絕訪問網際網路;
提示:ACL可以根據需求來定義過濾的條件以及匹配條件後所執行的動作;如上圖,匹配ACL條件的資料包進行加密操作;未匹配的資料不做任何處理;
ACL工作原理
提示:首先ACL由一條或多條規則組成;每個ACL都有一個名稱或編號;對於不同範圍編號的ACL其特性也有所不同;每條規則必須選擇動作,允許或拒絕;每條規則都有一個id序號,預設不給id,就是5,間隔5;序號的作用就是排序規則匹配順序,數字越小越有限匹配;只要有一條規則和報文匹配,就停止查詢,稱為命中規則;如果查詢完所有規則,如果沒有符合條件的規則,稱為未命中規則;ACL建立後,必須將其應用到某個介面或其他技術內才會生效;應用在介面時必須選擇方向:入站或出站(相對裝置來判斷),每個介面在每個方向上只可應用一個ACL;不能過濾由裝置自己產生的資料;
ACL型別
提示:ACL分為數字型ACL和命名型ACL;對於數字型ACL來說,主要分三中型別,基本ACL,其編號範圍是2000-2999,高階ACL編號為3000-3999,二層ACL編號為4000-4999;最後是使用者自定義ACL其編號範圍5000-5999;對於命名型ACL具體屬於高階還是基本還是二層,由命令決定;預設不跟編號就是高階ACL;
正掩碼、反掩碼、萬用字元區別
示例:用萬用字元匹配一個地址
示例:匹配一個網段
示例:匹配任意地址
提示:後面不接任何地址直接回車也表示匹配任意地址,後面接any也表示匹配任意地址;
示例:匹配網段內的所有奇數地址
提示:我們知道對於一個奇數來說,它的二進位制最後一位肯定是1;那麼我們只需匹配最後一位必須是1即可;結合上述萬用字元的規則,1表示無需匹配,0表示必須匹配;對應我們可以算出匹配奇數的萬用字元為254;對於254來說,它的二進位制最後一位是0,則表示最後一位必須匹配;這個必須匹配是指匹配前邊的ip地址和後面的萬用字元做異或計算(相同為0不同為1)的結果;如上1的二進位制最後一位是1和254的最後一位0做異或計算就是1;這表示IP地址二進位制最後一位必須是1對應ip地址才能被匹配;這樣一來對於匹配是奇數還是偶數,由前邊變得ip地址決定;如果ip地址的二進位制最後一位是1則匹配奇數,如果ip地址最後一位是0則匹配偶數;
示例:匹配網段內的所有偶數地址
ACL配置
1、建立ACL
提示:建立ACL如果後面直接跟數字表示建立數值型ACL,根據給定數字自動建立對應型別的ACL;如果建立acl後面跟的是名稱,如果後面沒有指定對應acl編號,預設就是高階ACL;
2、建立規則
提示:建立規則,如果沒有跟規則編號,預設就是5;建立ACL規則需要指定對應的動作,允許或拒絕;後面是該規則的匹配條件;不同型別的ACL,對應後面的匹配條件也有所不同,對於基本acl來說,它只能匹配源ip等;對於高階acl來說,它即可以匹配源ip地址,目標ip地址,也可以匹配源埠或目標埠;
3、建立高階ACL
在高階acl裡建立規則
提示:上述規則表示允許192.168.1.232這臺主機訪問1.1.1.1這臺伺服器的80埠;
4、在介面呼叫ACL過濾流量
提示:在介面模式下呼叫acl,需要注意方向,inbound表示入站,outbound表示出站;
5、驗證acl
6、檢視介面acl呼叫情況
7、檢視裝置上所有基於ACL呼叫情況
提示:該命令在路由器上能夠正常執行,交換機不支援;