ACL技术概述用途1.登录控制telnet、ftp、http等2.报文转发进行过滤NAT、IPSec、QoS3.路由过滤(的匹配)ACL,IPPrefix-list可以进行匹配和过滤的内容源、目IP地址,协议号(TCP/UDP),源、目四层端口可以只匹配其中一个,也可以匹配多个ACL基本概念和工作原理ACL组成ACL编号与分类ACL编号:每个ACL都需要分配一个编号,称为ACL编号,用来标识ACL。基本ACL1.2000-29992.仅使用报文的源IP地址来定义规则3.不够直观,这个编号的ACL是干啥的?高级ACL1.3000-39992.可以对IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP(UDP)源/目的端口号来进行规则定义,会更加灵活地进行匹配。3.基本ACL能做的,高级ACL也能做4.不够直观,同上数字ACLaclnumber2000=acl2000aclnumber3000=acl3000命名ACL1.不能命名为数字2.使用aclnameNAMEbasic来创建基本命名ACL3.使用ACLnameNAMEadvance来创建高级命名ACLACL规则编号与步长规则一个ACL通常由若干条“permit/deny”语句组成,每条语句就是该ACL的一条规则。规则编号每条规则都有一个相应的编号,称为规则编号,用来标识ACL规则。可以自定义,也可以系统自动分配。ACL规则的编号范围是0~4294967294,所有规则均按照规则编号从小到大进行排序。步长1.系统自动为ACL规则分配编号时,每个相邻规则编号之间会有一个差值,这个差值称为“步长”。缺省步长为5,所以规则编号就是5/10/15…以此类推。2.如果手工指定了一条规则,但未指定规则编号,系统就会使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。步长可以调整,如果将步长改为2,系统则会自动从当前步长值开始重新排列规则编号,规则编号就变成2、4、6…。3.步长直接rule1/2/3/4…为什么不可以?先来看一个小题目:如果希望增加一条规则,该如何处理?可以在rule10和rule15之间,手工加入一条rule11。因此,设置一定长度的步长的作用,是方便后续在旧规则之间插入新的规则。通配符通配符(Wildcard)0表示完全匹配,1表示不关心,对于0和1的排列顺序没有要求可以写成0.0.0.2540.0.0.00.0.255.0特殊用法匹配奇数的主机192.168.1.10.0.0.254匹配所有any或者x.x.x.x255.255.255.255反掩码(wildcard)一般用于OSPF中,用于确定哪些接口启用OSPF必须是先连续的0,后连续的1。否则报错但是很奇葩的是,如果你写成掩码,系统也会自动给你更改为反掩码。掩码(ipaddressmask)用于确定网络位和主机位,必须是连续的1+连续的0,其中(0是可选的)动作每条规则中的permit或deny,就是与这条规则相对应的处理动作。permit指“允许”,deny指“拒绝”,但是ACL一般是结合其他技术使用,不同的场景,处理动作的含义也有所不同。在IA阶段,ACL更多与流量过滤技术结合使用(即流量过滤中调用ACL),permit就是“允许通行”的意思,deny就是“拒绝通行”的意思。ACL匹配机制1.自rule规则小的至规则编号大的进行匹配2.首次匹配后就跳出3.都不匹配则匹配默认(Cisco是拒绝所有,Huawei的ACL用于Traffic-filter的时候是允许所有)备注:Huawei的ACL在不同应用场景默认行为不同。一条ACL可以由多条“deny或permit”语句组成,每一条语句描述一条规则,这些规则可能存在包含关系,也可能有重复或矛盾的地方,因此ACL的匹配顺序是十分重要的。华为设备支持两种匹配顺序:自动排序(auto模式)和配置顺序(config模式)。缺省的ACL匹配顺序是config模式。自动排序auto是指系统使用“深度优先”的原则,将规则按照精确度从高到低进行排序,并按照精确度从高到低的顺序进行报文匹配。——这个比较复杂。配置顺序config系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。ACL使用的注意事项事项一设备的一个端口的一个方向只能使用一个ACLinbound指的是进入该设备(可能访问该设备或者通过该设备进行转发)outbound指的是离开该设备。事项二路由器的ACL在端口上使用,交换机在全局使用,可以针对1个VLAN使用多个ACL*交换机上一般不适用于二层接口,因为一般而言多个二层端口属于一个VLAN事项三进入设备是先进行ACL处理,然后路由,先路由然后离开设备后碰到ACL...
