傳聞江湖亂世之時,出現了一門奇門妙計曰為
“ACL”
,其變化多端,神鬼莫測,讓人捉摸不透,若是能在交換機上或者是路由器上輕輕鬆鬆的使上一招,便能平定江湖的腥風血雨。
所以這個ACL在江湖上被評為一段佳話。但是為什麼ACL能有這麼大的魔力呢,今天小老虎就帶你瞭解瞭解。
ACL,
Acess Control List的簡稱,中文名稱
訪問控制列表
,它是由一系列的規則組成(即匹配報文的一系列條件),這些條件可以是源ip地址,目的ip地址,埠號等。
這樣說的話,大家是不是有點不太明白的了,那我們換個說法。
打個比方,ACL就像是個過濾器,ACL各式各樣的規則就是過濾器的濾芯,安裝什麼樣的濾芯(即根據報文的性質制定ACL的規則),ACL就能過濾什麼樣的報文的。
基於過濾的報文,我們可以阻塞攻擊的報文,為不同的流量提供不同的差分服務,對telnet登陸/Ftp的檔案下載進行控制等,可以提高網路環境的安全性和網路傳輸的可靠性。
現在我們來簡單的介紹下
ACL中所含引數
的含義:
1
ACL的型別
首先,圖中是一個數字型ACL,ACL編號是2000,這個類似於人類的身份證號,用來唯一標識自己的身份,當然,每個人出了自己的身份證標明自己外還有自己的名字的,ACL除了數字型的ACL外還有命名式的ACL。
命名式ACL是一個名字+數字的格式,可以在定義ACL的名字時同時也可以指定ACL的編號。如果不指定編號,則使用系統的預設編號。
實際上,按照ACL規則功能的不同,ACL劃分成基本ACL,高階ACL,二層ACL,
使用者自定義ACL和使用者ACL這五種型別,每種型別的ACL對應的ACL的編號是不同的
,見下圖:
2
ACL規則
現在,我們來看看圖中ACL語句中的“pemit/deny”語句,這些個條件語句,我們稱之為ACL的規則,其中的permi/deny,是稱為ACL的動作,表示的意思是拒絕和允許。
每條規則都有自己的編號,比如:5,10,15,這些編號可以自己手工去分配,也可以系統去自動分配的,
那系統是怎麼樣分配的呢?
ACL規則的編號是從0~4294967294,所有的規則系統都是從小到大的順序進行排序,系統按照編號從小到大的順序依次匹配報文,一旦匹配上一條規則,即刻停止匹配。
除了包含ACL動作和規則編號,我們還是可以看到ACL規則中還定義了源地址、生效時間段這樣的欄位,這些欄位,稱之為匹配選項,它是ACL規則的重要組成部分。
其實呢,ACL還提供了豐富的匹配選項,你可以選擇二層乙太網幀頭資訊(如源MAC,目的MAC,乙太網幀的協議型別)作為匹配的選項,也是可以選擇三層的報文資訊(如源地址,目的地址,協議的型別)作為匹配選項,還可以選擇四層的報文資訊(如TCP/UDP的埠號)等等。
3
步長
步長,是指系統中自動為ACL規則分配編號時,每個相鄰規則編號之間的差值,也就是說,系統是根據步長值自動為ACL規則分配編號的。ACL的預設步長是5,透過display acl acl-number命令,可以檢視ACL規則,步長等資訊,透過step命令,可以修改ACL的步長值。
講到這,設定ACL的步長有什麼作用呢?
其實呢,設定步長的目的,是為了方便大家在ACL規則之間插入新的規則。
比如:
現在這樣的一條ACL中,已經包含了三條規則5,10,15。如果你是希望源ip地址為1。1。1。4的報文報文也是禁止透過的了,
我們是該如何處理的呢?
我們來分析一下,
ACL的原則
就是“
一經命中立即停止匹配的過程
”,所以源ip地址為1。1。1。1和1。1。1。2的報文,會在匹配上編號較小的rule 5和rule 10後停止匹配,從而被系統禁止透過,而源IP地址為1。1。1。4 的報文,則只會命中rule15,從而得到系統允許透過,我們要想讓源ip地址為1。1。1。4的報文也是禁止透過,我們必須為該報文配置一條新的deny規則
rule 11 deny source 1。1。1。4//表示的就是禁止源IP地址為1。1。1。4的報文透過
假如,如果這條ACL規則之間的間隔不是5,而是1,這時要是想插入新的規則,那我們就只能刪除已有的規則,然後在配置新的規則,最後將之前刪除的規則在重新配置回來,如果這樣,那我們要付出的代價可是有點大的啊。
所以,
我們一定要設定ACL的步長,為規則留下一定的空間,方便我們之後插入新的規則的哦。
好啦,以上就是介紹的ACL的基礎理論知識。
以上就是今天的分享啦,更多問題歡迎大家留言討論~記得點選“在看”哦!
最後
太閣免費影片資料、NA綜合實驗配置檔案拓撲圖及模擬器、太閣獨家實驗手冊、網工必讀書籍等
官方學習交流群:677090119領取
