企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。
访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络***等。
一、ACL应用场景
ACL可以通过定义规则来允许或拒绝流量的通过
二、ACL分类
1、一个ACL可以由多条“deny | permit”语句组成,每一条语句描述了一条规则。
2、设备收到数据流量后,会逐条匹配ACL规则,看其是否匹配。如果不匹配,则匹配下一条。一旦匹配,则执行规则中定义的动作,并不再继续与后续规则进行匹配。如果找不到匹配的规则,则设备不对报文进行任何处理。
3、规则的匹配顺序决定了规则的优先级,ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形。
4、ARG3系列路由器支持两种匹配顺序:配置顺序和自动排序。配置顺序按ACL规则编号(rule-id)从小到大的顺序进行匹配。通过设置步长,使规则之间留有一定的空间。默认步长是5。路由器匹配规则时默认采用配置顺序。自动排序使用“深度优先”的原则进行匹配,即根据规则的精确度排序。
通配符掩码:
0 ---表示匹配
1 ---表示忽略
A
CL 用于匹配流量默认隐含一条permit any, 用于匹配路由默认隐含一条deny any
三、ACL配置
基本ACL: 针对源地址,靠近目的端配置
AR2进行配置:
[AR2]interface GigabitEt
hernet 0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
PC1可以访问服务器
192.168.2.0网段无法访问服务器
高级ACL: 一般靠近源端
[AR1]acl number 3000
[AR1-acl-adv-3000]rule 10 deny icmp source 192.168.1.0 0.0.0.255 destination 172.16.1.100 0
[AR1-acl-adv-3000]int g 0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
[AR1]acl number 3000
[AR1-acl-adv-3000] rule 20 deny tcp source 192.168.2.1 0 destination-port eq ftp
ACL配置成功拒绝访问FTP服务。