基本概念 ACL访问控制列表是由一条或者多条规则组成的集合;本质上是一种报文过滤器,可以用于数据流量(报文)与路由信息的过滤 在对于数据流量过滤时需要注意 ACL不会过滤设备自身产生的访问其它设备的流量,只过滤转发的流量(包括其它设备访问其它设备的、其他设备访问本设备的流量) ACL分类 基于ACL标识方法进行划分 数字型ACL(使用唯一数字标识ACL) 命名型ACL(使用名字/名字+数字来标识ACL) 基于对IPv4和IPv6支持情况划分 ACL4:也叫做ACL,仅支持对IPv4报文进行过滤的ACL ACL6:也叫做IPv6 ACL,仅支持对IPv6报文进行过滤的ACL 根据ACL功能划分 编号范围 | | | | | | | | 使用报文的源目IP地址、IP协议类型、ICMP类型
TCP/UDP源目端口号、生效时间来过滤 | | | 使用以太网帧头部信息(例如:源目MAC、二层协议类型)来过滤 | | | | | | 使用报文的源目IP地址、源目UCL组、IP协议类型、ICMP类型
TCP/UDP源目端口号、生效时间来过滤 |
基本ACL的组成 ACL编号:标识ACL。可以使用数字标识,也可以使用名字+数字标识 规则编号:标识ACL规则,默认每个规则的间隔是5(即第一个规则是5,下一个为10依次递增),也可以手动指定编号。 源地址:由IP地址+通配符组成 动作: 包括允许、拒绝两种动作 匹配项:不同的ACL类型匹配项不一致。最基础的就是匹配源IP地址 ACL匹配顺序 一条ACL可以由多条deny/permit语句组成,每条语句描述一条规则,并使用唯一的规则编号 设备支持两种ACL匹配顺序: 配置顺序(config模式) 自动排序(auto模式) 配置顺序: 1. 如果配置规则指定了规则编号,根据规则编号由小到大顺序匹配 2. 如果没有配置规则没有指定规则编号,则由系统自动分配(由编号5开始,每条规则编号递增5) 3. 一旦匹配上一条规则就停止匹配。没有匹配到规则就匹配默认规则 自动排序: 1. 系统使用“深度优先”的原则,将规则按照精确度从高到低进行排序、匹配 2. 如果使用“深度优先”原则没有分辨出优先级,则使用配置顺序方式来匹配 AC类型 | | | 1、先看规则中是否带VPN实例,带VPN实例的规则优先。
2、再比较源IP地址范围,源IP地址范围小(IP地址通配符掩码中“0”位的数量多)的规则优先。
3、如果源IP地址范围相同,则规则编号小的优先(配置匹配)。 | | 1、先看规则中是否带VPN实例,带VPN实例的规则优先。
2、再比较协议范围,指定了IP协议承载的协议类型的规则优先。
3、如果协议范围相同,则比较源IP地址范围,源IP地址范围小(IP地址通配符掩码中“0”位的数量多)的规则优先。
4、如果协议范围、源IP地址范围相同,则比较目的IP地址范围,目的IP地址范围小(IP地址通配符掩码中“0”位的数量多)的规则优先。
5、如果协议范围、源IP地址范围、目的IP地址范围相同,则比较四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先。
6、如果上述范围都相同,则规则编号小的优先(配置匹配)。 | | 1、先比较二层协议类型通配符掩码,通配符掩码大(协议类型通配符掩码中“1”位的数量多)的规则优先。
2、如果二层协议类型通配符掩码相同,则比较源MAC地址范围,源MAC地址范围小(MAC地址通配符掩码中“1”位的数量多)的规则优先。
3、如果源MAC地址范围相同,则比较目的MAC地址范围,目的MAC地址范围小(MAC地址通配符掩码中“1”位的数量多)的规则优先。
4、如果源MAC地址范围、目的MAC地址范围相同,则规则编号小的优先(配置匹配)。 | | 1、先比较协议范围,指定了IP协议承载的协议类型的规则优先。
2、如果协议范围相同,则比较源IP地址范围。如果规则的源IP地址均为IP网段,则源IP地址范围小(IP地址通配符掩码中“0”位的数量多)的规则优先。
3、如果协议范围、源IP地址范围相同,则比较目的IP地址范围。如果规则的目的IP地址均为IP网段,则目的IP地址范围小(IP地址通配符掩码中“0”位的数量多)的规则优先。
4、如果协议范围、源IP地址范围、目的IP地址范围相同,则比较四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先。
5、如果上述范围都相同,则规则编号小的优先(配置匹配)。 |
注意:在创建ACL是可以更改匹配顺序,通过acl [编号] math-order[auto/config] 命令进行匹配顺序更改 ACL如何匹配IP地址 ACL使用通配符来匹配IP地址,通配符0表示匹配,1表示不匹配。0和1之间可以不连续 规则中由参照地址和通配符一同来确定IP地址的范围 匹配特殊地址 0.0.0.0 255.255.255.255 匹配任意IP地址 1.1.1.1 0.0.0.0 仅匹配1.1.1.1这一个地址 不过需要注意的是 在匹配IP地址时,只能匹配IP地址的网络号,无法匹配子网掩码 即ACL可以灵活的匹配IP地址的前缀,无法匹配掩码长度。例如: l Rule 5 permit source 1.1.1.0 0 此条规则匹配的是网络号为1.1.1.0的地址 1.1.1.0/24 1.1.1.0/25 都被匹配 1.1.1.128/25不被匹配,因为此网络号为1.1.1.128 l Rule 5 permit source 1.1.1.0 24 此条规则匹配的是网络号为1.1.1.X的地址 1.1.1.0/24 1.1.1.128/25 都被匹配 1.1.1.0/16不被匹配,因为此网络号为1.1.0.0 |