全发国际

620 点全场景落地 丨 半导体大厂熙泰科技的云桌面安全与提效实战分享
预约直播
AI时期,,,,,,,医疗网络怎么建 丨 全发国际医疗极简以太彩光双超融合网络解决规划颁布
预约直播
全发国际(中国)有限公司官网
产品
< 返回主菜单
产品中心
产品
解决规划
< 返回主菜单
解决规划中心
行业
合作同伴
返回主菜单
选择区域/说话
全发国际(中国)有限公司官网

您订阅的产品有更新,,,,,,,请实时查阅

查看详情

ACL是什么,,,,,,,若何配置???? ? ??

颁布功夫:2023-03-24
点击量:3516

 ACL职能介绍

ACLAccess Control List,,,,,,,接见节造列表)也称为接见列表,,,,,,,有的文档中还称之为包过滤。。。。。ACL通过界说一系列蕴含允许回绝的规定语句,,,,,,,并将这些规定利用到设备接口上,,,,,,,对进出接口的数据包进行节造,,,,,,,从而提升网络设备的安全性。。。。。

配置ACL可能保险网络安全、靠得住和不变,,,,,,,例如:

l  预防报文攻击:针对IPTCP或者ICMP报文的攻击,,,,,,,对这些攻击报文做“回绝”处置。。。。。

l  网络接见节造:限杜酌户接见服务,,,,,,,例如只允许接见WWW和电子邮件服务,,,,,,,其他服务如Telnet则不容。。。。;;;;;;;蛘咧辉市碓诟ǖ墓Ψ蚨文诮蛹,,,,,,,或者只允许特定主机接见网络等。。。。。

l  网络流量节造:结合QoS可以为沉要的数据流进行优先服务保障。。。。。关于QoS的配置请拜见“QoS”。。。。。

工作道理

1.    根基概想

l  接见列表

接见列表有:根基接见列表和动态接见列表。。。。。

用户能够凭据必要选择根基接见列表或动态接见列表。。。。。通常情况下,,,,,,,使用根基接见列表已经可能满足安全必要。。。。。但攻击者可能通过软件假冒源地址糊弄设备,,,,,,,从而接见网络。。。。。而动态接见列表在用户接见网络以前,,,,,,,要求通过身份认证,,,,,,,使攻击者难以接见网络。。。。。在敏感区域能够使用动态接见列表保障网络安全。。。。。

*     注明

通过假冒源地址糊弄设备即电子糊弄是所有接见列表固有的问题,,,,,,,使用动态列表也会遭逢电子糊弄问题:攻击者可能在用户通过身份认证的有效接见期间,,,,,,,假冒用户的地址接见网络。。。。。解决该问题的步骤有两种,,,,,,,一种是尽量设置更短的用户接见空闲功夫;;;;;;;另一种是使用IPsec加密和谈对网络数据进行加密,,,,,,,确保进入设备时,,,,,,,所有的数据都是加密的。。。。。

 

接见列表通常配置在以下地位的网络设备上:

         内部网和表部网(如Internet)之间的设备

         两个网络接壤部门的设备

         接入节造端口的设备

l  ACE

ACEAccess Control Entry,,,,,,,接见节造条款)是蕴含“允许(Permit)”或“回绝(Deny)”两种作为,,,,,,,以及过滤规定的一条语句。。。。。每个ACE都有一个序号,,,,,,,该序号可由设备自动分配或者手动配置。。。。。一条ACL中蕴含一个或者多个ACE。。。。。ACL通过ACE对数据包进行标识过滤。。。。。

ACLACE的挨次决定了该ACE在接见列表中的匹配优先级。。。。。网络设备在处置报文时,,,,,,,按ACE的序号从幼到猛进行规定匹配,,,,,,,倒匾到匹配的ACE后则终场查抄后续的ACE。。。。。

例如创建一条序号为10ACE,,,,,,,它回绝所有的数据流通过。。。。。

10 deny ip any any

20 permit tcp 192.168.12.0 0.0.0.255 eq telnet any

由于序号为10ACE回绝了所有的IP报文,,,,,,,即便192.168.12.0/24网络的主机Telnet报文,,,,,,,能够被序号为20ACE匹配,,,,,,,该报文也将被回绝。。。。。由于设备在查抄到报文和序号为10ACE匹配后,,,,,,,便终场查抄后面序号为20ACE。。。。。

又例如创建一条编号为10ACE,,,,,,,它允许所有的IPv6数据流通过。。。。。

10 permit ipv6 any any

20 deny ipv6 host 200::1 any

由于序号为10ACE允许所有的IPv6报文通过,,,,,,,主机200::1发出的IPv6报文,,,,,,,即便匹配序号为20ACE,,,,,,,该报文也将被允许通过。。。。。由于设备在查抄到报文和第一条ACE匹配,,,,,,,便终场查抄后面序号为20ACE。。。。。

l  步长

当设备为ACE自动分配序号时,,,,,,,两个相邻ACE序号之间的差值,,,,,,,称为步长。。。。。例如,,,,,,,若是将步长设定为5,,,,,,,则设备依照51015…这样的递增挨次自动为ACE分配序号。。。。。如下所示。。。。。

5 deny ip any any

10 permit tcp 192.168.12.0 0.0.0.255 eq telnet any

当步长扭转后,,,,,,,ACE序号会自动按新步长值沉新分配。。。。。例如,,,,,,,当把步长改为10后,,,,,,,原来ACE序号从51015造成51525。。。。。

通过扭转步长能够在两个ACE之间插入新的ACE。。。。。例如创建了4ACE,,,,,,,并通过手动配置ACE序号别离为1234。。。。。若是但愿能在序号1后面插入一条新的ACE,,,,,,,则能够先将步长批改为2,,,,,,,此时原先4ACE的序号自动变为1357,,,,,,,再插入一条手动配置的序号为2ACE。。。。。

l  过滤域模板

过滤域指的是天生一条ACE时,,,,,,,凭据报文中的哪些字段对报文进行鉴别、分类。。。。。过滤域模板就是这些字段的组合。。。。。ACE凭据以太网报文的某些字段来标识以太网报文,,,,,,,这些字段蕴含:

二层字段(Layer 2 Fields):

         48位的源MAC地址(必须申明所有48位)

         48位的主张MAC地址(必须申明所有48位)

         16位的二层类型字段

三层字段(Layer 3 Fields):

         IP地址字段(能够申明全数源IP地址值,,,,,,,或使用子网来界说一类流)

         主张IP地址字段(能够申明全数主张IP地址值,,,,,,,或使用子网来界说一类流)

         和谈类型字段

四层字段(Layer 4 Fields):

         能够申明一个TCP的源端口、主张端口或者都申明,,,,,,,还能够申明源端口或主张端口的领域。。。。。

         能够申明一个UDP的源端口、主张端口或者都申明,,,,,,,还能够申明源端口或主张端口的领域。。。。。

例如,,,,,,,在创建一条ACE时必要凭据报文的主张IP字段,,,,,,,对报文进行鉴别和分类。。。。。而在创建另一条ACE时,,,,,,,必要凭据报文的源IP地址字段和UDP的源端口字段,,,,,,,对报文进行鉴别和分类。。。。。这两条ACE就使用了分歧的过滤域模板。。。。。

l  规定

规定(Rules)指的是ACE过滤域模板对应的值。。。。。例如,,,,,,,一条ACE的内容如下:

10 permit tcp host 192.168.12.2 any eq telnet

在这条ACE中,,,,,,,过滤域模板为以下字段的集中:源IP地址字段、主张IP地址字段、IP和谈字段、TCP主张端口字段。。。。。对应的值(即规定)别离为:源IP地址为Host 192.168.12.2、主张IP地址为Any(即所有主机)、IP和谈为TCPTCP主张端口为Telnet。。。。。如1-1所示。。。。。

图1-1     ACEpermit tcp host 192.168.12.2 any eq telnet的分析

典型配置举例

 IP尺度ACL配置举例

1.    组网需要

通过配置IP尺度ACL,,,,,,,不容财政部以表的部门接见财政数据服务器。。。。。

2.    组网图

图1-3     IP尺度ACL利用场景组网图

 

3.    配置重点

l  Device A配置IP尺度ACL并增长接见规定。。。。。

l  Device AIP尺度ACL利用在衔接财政数据服务器接口的出方向上。。。。。

4.    配置步骤

(1)   配置IP尺度ACL并增长接见规定。。。。。

# Device A配置IP尺度ACL并增长接见规定。。。。。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# ip access-list standard 1

DeviceA(config-std-nacl)# permit 10.1.1.0 0.0.0.255

DeviceA(config-std-nacl)# deny 11.1.1.1 0.0.0.255

DeviceA(config-std-nacl)# exit

(2)   IP尺度ACL利用到接口上。。。。。

# Device AACL利用在衔接财政数据服务器接口的出方向上。。。。。

DeviceA(config)# interface gigabitethernet 0/3

DeviceA(config-if-GigabitEthernet 0/3)# ip access-group 1 out

5.    验证配置了局

查抄Device A设备ACL配置号令是否正确。。。。。

DeviceA# show access-lists

 

ip access-list standard 1

10 permit 10.1.1.0 0.0.0.255

20 deny 11.1.1.0 0.0.0.255

 

DeviceA# show access-group

ip access-group 1 out

Applied On interface GigabitEthernet 0/3

从开发部的某台PC机上ping财政数据服务器,,,,,,,确认ping不通。。。。。

从财政部的某台PC机上ping财政数据服务器,,,,,,,确认能ping通。。。。。

6.    配置文件

l  DeviceA的配置文件

hostname DeviceA

!

ip access-list standard 1

 10 permit 10.1.1.0 0.0.0.255

 20 deny 11.1.1.0 0.0.0.255

!

interface GigabitEthernet 0/1

 no switchport

 ip address 10.1.1.1 255.255.255.0

!

interface GigabitEthernet 0/2

 no switchport

 ip address 11.1.1.1 255.255.255.0

!

interface GigabitEthernet 0/3

 no switchport

 ip access-group 1 out

 ip address 12.1.1.1 255.255.255.0

!

更多案例

IP扩大ACL配置举例

MAC扩大ACL配置举例

专家级扩大ACL配置举例

IPv6 ACL配置举例

ACL80配置举例

基于功夫段的ACL规定配置举例

SVI Router ACL配置举例

CL报文计数统计配置举例

 

全发国际(中国)有限公司官网

返回顶部

收起
全发国际(中国)有限公司官网 文档AI副手
全发国际(中国)有限公司官网 文档评价
该资料是否解决了您的问题???? ? ??
您对当前页面的中意度若何???? ? ??
不咋滴
极度好
您中意的原因是(多选!。。。???? ? ??
您对文档是否还有其它的问题或建议???? ? ??
为尽快解决问题,,,,,,,请您留下联系方式以便回复
邮箱
手机号
感激您的反馈!。。。
全发国际(中国)有限公司官网
全发国际(中国)有限公司官网
全发国际(中国)有限公司官网
请选择服务项目
关关征询页
售前征询 售前征询
售前征询
售后服务 售后服务
售后服务
定见反馈 定见反馈
定见反馈
更多联系方式
【网站地图】【sitemap】