ACL访问控制列表_思维导图模板

ACL访问控制列表

应用场景

允许或拒绝流量的通过、在防火墙中使用ACL

在路由中使用ACL过滤路由信息

作为路由选择工具，可以提取路由表，在路由协议中做路由的过滤或者在route-policy中调用（NP内容）

在QoS中使用ACL进行流分类

通过ACL实现QoS的复杂流分类（NP内容）

在IPSec中使用ACL

由一系列规则组成的集合，ACL通过这些规则对报文进行分类，从而使设备可以对不同类报文进行不同的处理

对网络访问行为的控制

限制网络流量

提高网络性能

防止网络攻击

ACL分类

IPv4

基本ACL

编号：2000-2999

可以对IPv4报文的源IP地址、VPN实例、分片标记和时间段信息定义规则

高级ACL

编号：3000-3999

即可使用IPv4报文的源IP地址，也可使用目的地址、IP优先级、ToSs、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP（User Datagram Protocol）源端口/目的端口号等来定义规则

二层ACL

编号：4000-4999

可根据报文的以太网帧头信息来定义规则，如根据源MAC（Media Access Control）地址、目的MAC地址、以太帧协议类型等

用户ACL

编号：6000-6031

即可使用IPv4报文的源IP地址，也可使用目的地址、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则

IPv6

基本ACL6

编号：2000-2999

可使用IPv6报文的源IP地址、分片标记和时间段信息来定义规则

二层ACL6

编号：4000-4999

可根据报文的以太网帧头信息来定义规则，如根据源MAC（Media Access Control）地址、目的MAC地址、以太网帧协议类型等

高级ACL6

编号：3000-3999

可以使用IPv6报文的源地址、目的地址、IP承载的协议类型、针对协议的特性（例如TCP的源端口、目的端口、ICMPv6协议的类型、ICMPv6 Code）等内容定义规则

命名：可以为ACL指定一个名称，名称也可以确定唯一的ACL

ACL的规则

每个ACL作为一个规则组，可以包含多个规则。规则通过规则ID（rule-id）来标识，规则ID可以由用户进行配置，也可以由系统自动根据步长生成

报文到达设备时，设备从报文中提取信息，并将该信息与ACL中的规则进行匹配，只要有一条规则和报文匹配，就停止查找，称为命中规则。查找完所有规则，如果没有符合条件的规则，称为未命中规则

ACL的步长

步长的含义：设备自动为ACL规则分配编号的时候，每个相邻规则编号之间的差值。例如：如果将步长设定为5，规则编号分配是按照5、10、15...这样的规律分配的

规则的分类

命中“permit”规则的报文

命中“deny”规则的报文

未命中规则的报文

配置

基本ACL

[RTA]acl 2000 //创建基本ACL2000

[RTA-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255 //创建规则5拒绝源IP地址192.168.1.0/24

[RTA-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 //在接口出方向应用流量过滤调用ACL2000

[RTA]dis acl 2000 //查询ACL2000应用情况

[RTA]dis traffic-filter applied-record //查询流量过滤匹配记录

高级ACL

[RTA]acl 3000 //创建高级ACL

[RTA-acl-adv-3000]rule deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21 //创建规则5拒绝源IP地址为192.168.1.0/24目的地址为172.16.10.1/32 TCP端口号等于21的数据

[RTA-acl-adv-3000]rule deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.10.2 0.0.0.0 //创建规则10拒绝源IP地址为192.168.2.0/24目的地址为172.16.10.2/32的TCP流量

[RTA-acl-adv-3000]rule permit ip //创建规则15，除了上两条规则外其余所有数据包允许通过

[RTA-GigabitEthernet0/0/0]traffic-filter outbound acl //在接口出方向应用ACL

NAT的应用

[RTA]nat address-group 1 202.110.10.8 202.110.10.15 //创建NAT公网地址池

[RTA]acl 2000 //创建基本ACL

[RTA-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 //创建规则5匹配提取192.168.1.0/24的数据包流量

[RTA-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 //在公网出接口出方向应用ACL2000映射NAT地址池1

ACL访问控制列表

模板简介

猜你喜欢

相关文章