企業網絡中的設備進行通信時,需要保障數據傳輸的安全可靠和網絡的性能穩定。
訪問控制列表ACL(Access Control List)可以定義一系列不同的規則,設備根據這些規則對數據包進行分類,並針對不同類型的報文進行不同的處理,從而可以實現對網絡訪問行爲的控制、限制網絡流量、提高網絡性能、防止網絡攻擊等。
一、ACL應用場景
ACL可以通過定義規則來允許或拒絕流量的通過
二、ACL分類
1、一個ACL可以由多條“deny | permit”語句組成,每一條語句描述了一條規則。
2、設備收到數據流量後,會逐條匹配ACL規則,看其是否匹配。如果不匹配,則匹配下一條。一旦匹配,則執行規則中定義的動作,並不再繼續與後續規則進行匹配。如果找不到匹配的規則,則設備不對報文進行任何處理。
3、規則的匹配順序決定了規則的優先級,ACL通過設置規則的優先級來處理規則之間重複或矛盾的情形。
4、ARG3系列路由器支持兩種匹配順序:配置順序和自動排序。配置順序按ACL規則編號(rule-id)從小到大的順序進行匹配。通過設置步長,使規則之間留有一定的空間。默認步長是5。路由器匹配規則時默認採用配置順序。自動排序使用“深度優先”的原則進行匹配,即根據規則的精確度排序。
通配符掩碼:
0 ---表示匹配
1 ---表示忽略
A
CL 用於匹配流量默認隱含一條permit any, 用於匹配路由默認隱含一條deny any
三、ACL配置
基本ACL: 針對源地址,靠近目的端配置
AR2進行配置:
[AR2]interface GigabitEt
hernet 0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
PC1可以訪問服務器
192.168.2.0網段無法訪問服務器
高級ACL: 一般靠近源端
[AR1]acl number 3000
[AR1-acl-adv-3000]rule 10 deny icmp source 192.168.1.0 0.0.0.255 destination 172.16.1.100 0
[AR1-acl-adv-3000]int g 0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
[AR1]acl number 3000
[AR1-acl-adv-3000] rule 20 deny tcp source 192.168.2.1 0 destination-port eq ftp
ACL配置成功拒絕訪問FTP服務。
