HCNA Routing&Switching之訪問控制列表ACL

2021 年 8 月 18 日
筆記
acl, ACL工作原理, ACL應用場景, ACL類型, ACL配置, HCNA Routing&Switching, 正掩碼、反掩碼、通配符區別, 訪問控制列表

　　前文我們了解了DHCP服務相關話題，回顧請參考//www.cnblogs.com/qiuhom-1874/p/15147870.html；今天我們來聊一聊訪問控制列表ACL；

　　ACL（access control list）是一款流量過濾工具，它能針對特定的流量數據包做拒絕或允許操作；本質上講ACL是最早的包過濾防火牆；它能根據我們定義的規則將數據包進行分類，並針對不同類型的數據包進行不同的處理，從而實現針對網路訪問行為的控制、限制網路流量、提高網路性能和防止網路攻擊；

　　提示：ACL主要針對三層ip包頭裡的源地址和目標地址以及四層TCP包頭的源埠和目標埠來分類過濾數據包，我們可以根據這四個元素任意組合定義不同的規則；當然對於二層數據鏈路層也可根據源mac和目標mac、vlan id等來制定規則；

　　ACL應用場景

　　提示：我們可以通過制定ACL規則實現允許或拒絕流量通過；如上圖我們可以允許192.168.1.0/24這個網段里的主機可以正常訪問互聯網，但不允許訪問伺服器A；對於192.168.2.0/24這個網路里的主機允許訪問伺服器A，但拒絕訪問互聯網；

　　提示：ACL可以根據需求來定義過濾的條件以及匹配條件後所執行的動作；如上圖，匹配ACL條件的數據包進行加密操作；未匹配的數據不做任何處理；

　　ACL工作原理

　　提示：首先ACL由一條或多條規則組成；每個ACL都有一個名稱或編號；對於不同範圍編號的ACL其特性也有所不同；每條規則必須選擇動作，允許或拒絕；每條規則都有一個id序號，默認不給id，就是5，間隔5；序號的作用就是排序規則匹配順序，數字越小越有限匹配；只要有一條規則和報文匹配，就停止查找，稱為命中規則；如果查找完所有規則，如果沒有符合條件的規則，稱為未命中規則；ACL創建後，必須將其應用到某個介面或其他技術內才會生效；應用在介面時必須選擇方向：入站或出站（相對設備來判斷），每個介面在每個方向上只可應用一個ACL；不能過濾由設備自己產生的數據；

　　ACL類型

　　提示：ACL分為數字型ACL和命名型ACL；對於數字型ACL來說，主要分三中類型，基本ACL，其編號範圍是2000-2999，高級ACL編號為3000-3999，二層ACL編號為4000-4999；最後是用戶自定義ACL其編號範圍5000-5999；對於命名型ACL具體屬於高級還是基本還是二層，由命令決定；默認不跟編號就是高級ACL；

　　正掩碼、反掩碼、通配符區別

　　示例：用通配符匹配一個地址

　　示例：匹配一個網段

　　示例：匹配任意地址

　　提示：後面不接任何地址直接回車也表示匹配任意地址，後面接any也表示匹配任意地址；

　　示例：匹配網段內的所有奇數地址

　　提示：我們知道對於一個奇數來說，它的二進位最後一位肯定是1；那麼我們只需匹配最後一位必須是1即可；結合上述通配符的規則，1表示無需匹配，0表示必須匹配；對應我們可以算出匹配奇數的通配符為254；對於254來說，它的二進位最後一位是0，則表示最後一位必須匹配；這個必須匹配是指匹配前邊的ip地址和後面的通配符做異或計算（相同為0不同為1）的結果；如上1的二進位最後一位是1和254的最後一位0做異或計算就是1；這表示IP地址二進位最後一位必須是1對應ip地址才能被匹配；這樣一來對於匹配是奇數還是偶數，由前邊變得ip地址決定；如果ip地址的二進位最後一位是1則匹配奇數，如果ip地址最後一位是0則匹配偶數；

　　示例：匹配網段內的所有偶數地址