ACL技术概述
• 随着网络的飞速发展,网络安全和网络服务质量 QoS ( Quality of Service )问题日益突出。
▫ 园区重要服务器资源被随意访问,园区机密信息容易泄露,造成安全隐患。
▫ Internet 病毒肆意侵略园区内网,内网环境的安全性堪忧。
▫ 网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽得不到保障,造成用户体验差。
• 以上种种问题,都对正常的网络通信造成了很大的影响。因此,提高网络安全性和服务质量迫在眉睫,我们需要对网络进行控制。比如,需要借助一个工具帮助实现一些流量的过滤。
通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
- ACL是由permit或deny语句组成的一系列有顺序的规则的集合;它通过匹配报文的相关字段实现对报文的分类。
- ACL是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具;ACL还能够用于匹配路由条目。
注意:ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为。
ACL基本概念
ACL分类
• 基本 ACL :
▫ 主要针对 IP 报文的源 IP 地址进行匹配,基本 ACL 的编号范围是 2000-2999 。
▫ 比如这个例子,创建的是 acl 2000 ,就意味着创建的是基本 ACL 。
• 高级 ACL :
▫ 可以根据 IP 报文中的源 IP 地址、目的 IP 地址、协议类型, TCP 或 UDP 的源目端口号等元素进行匹配,可以理解为:基本 ACL 是高级 ACL 的一个子集,高级 ACL 可以比基本 ACL 定义出更精确、更复杂、更灵活的规则。
此篇文章主要讲解基本ACL和高级ACL。
ACL组成
ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。
例如:
rule 5 permit source 192.168.1.1 0.0.0.0
节点 动作 匹配项 参数 通配符掩码
节点: 一个ACL的每条规则都需要进行排列
默认5的步长进行条目的排列,取值范围是<0-4294967294>
[AR1-acl-basic-2000]step <1-20> 设置步长,默认为5
动作:permit/deny 只是做为标记使用,具体是允许通过还是禁止通过是由其他技术决定的
匹配项:ACL定义了极其丰富的匹配项。例子中体现的源地址,ACL还支持很多其他规则匹配项。例如,二层以太网帧头信息(如源MAC、目的MAC、以太帧协议类型)、三层报文信息(如目的地址、协议类型)以及四层报文信息(如TCP/UDP端口号)等。
参数:具体的信息。
通配符掩码:不需要连续的1和连续的0组合,0表示精确匹配,1表示任意匹配。
• 如果想匹配 192.168.1.0/24 网段中的奇数 IP 地址,通配符该怎么写呢?
▫ 我们先来看一看,奇数 IP 地址都有哪些: 192.168.1.1 、 192.168.1.5 、 192.168.1.11……
▫ 后八位写成二进制: 192.168.1.00000001 、 192.168.1.00000101 、 192.168.1.00001011……
▫ 可以看出共同点:最后 8 位的高 7 位是任意值,最低位固定为 1 ,因此答案是: 192.168.1.1 0.0.0.254 ( 0.0.0.11111110 )
• 这就得出了通配符的一个特点:通配符中的 1或者0 是可以不连续的。
• 还有两个特殊的通配符:
▫ 当通配符全为 0 来匹配 IP 地址时,表示精确匹配某个 IP 地址;
▫ 当通配符全为 1 来匹配 0.0.0.0 地址时,表示匹配了所有 IP 地址。
ACL匹配机制
• ACL 的匹配机制概括来说就是:
▫ 配置 ACL 的设备接收报文后,会将该报文与 ACL 中的规则逐条进行匹配,如果不能匹配上,就会继续尝试去匹配下一条规则。
▫ 一旦匹配上,则设备会对该报文执行这条规则中定义的处理动作,并且不再继续尝试与后续规则匹配。
• 匹配流程:首先系统会查找设备上是否配置了 ACL 。
▫ 如果 ACL 不存在,则返回 ACL 匹配结果为:不匹配。
▫ 如果 ACL 存在,则查找设备是否配置了 ACL 规则。
▪ 如果规则不存在,则返回 ACL 匹配结果为:不匹配。
▪ 如果规则存在,则系统会从 ACL 中编号最小的规则开始查找。
− 如果匹配上了 permit 规则,则停止查找规则,并返回 ACL 匹配结果为:匹配(允许)。
− 如果匹配上了 deny 规则,则停止查找规则,并返回 ACL 匹配结果为:匹配(拒绝)。
− 如果未匹配上规则,则继续查找下一条规则,以此循环。如果一直查到最后一条规则,报文仍未匹配上,则返回 ACL 匹配结果为:不匹配。
• 从整个 ACL 匹配流程可以看出,报文与 ACL 规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。
▫ 匹配(命中规则):指存在 ACL ,且在 ACL 中查找到了符合匹配条件的规则。不论匹配的动作是“ permit” 还是“ deny” ,都称为“匹配”,而不是只是匹配上 permit 规则才算“匹配”。
▫ 不匹配(未命中规则):指不存在 ACL ,或 ACL 中无规则,再或者在 ACL 中遍历了所有规则都没有找到符合匹配条件的规则。以上三种情况,都叫做“不匹配”。
• 匹配原则:一旦命中即停止匹配。
注意:
ACL根据匹配信息不同,最终隐含规则也不同
1.如果ACL匹配的是流量,则默认是允许所有
2.如果ACL匹配的是路由,则默认是拒绝所有
ACL的匹配位置
ACL应用案例
通过ACL实现流量过滤
如图,要使PC1能够和PC2通信,但是不能和PC3通信,应该如何配置ACL呢?
各个主机IP地址为:
法一:在交换机上配置基本ACL实现流量过滤
先在全局视图下创建基本ACL,匹配源地址为192.168.1.1(PC1)的流量,然后在交换机的GE 0/0/3的出方向过滤掉该流量。
结果:
可以看到,通过基本ACL实现了PC1能够访问PC2,不能够访问PC3。
法二:在交换机上配置高级ACL实现流量过滤
先在全局视图下创建高级ACL,匹配源地址为192.168.1.1(PC1)目的地址为192.168.1.3(PC3)的流量,然后在交换机的GE 0/0/1的入方向过滤掉该流量。
结果:
可以看到,通过高级ACL实现了PC1能够访问PC2,不能够访问PC3。
