ACL访问控制_acl策略

ACL

（仅作为个人笔记，如有雷同，请联系删除。。）

访问控制列表(ACL)：是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

访问控制列表（Access Control Lists，ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

1、功能：

1. 限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被网络设备处理。
2. 提供对通信流量的控制手段
3. 提供网络访问的基本安全手段
4. 在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

例如，以下就可以通过ACL实现：
1. 用户可以允许E- mail通信流量被路由，拒绝所有的Telnet通信流量。
2. 某部门要求只能使用WWW这个功能，就可以通过ACL实现；
3. 为了某部门的保密性，不允许其访问外网，也不允许外网访问它；
1
2
3
4

2、工作原理：

1. 当一个数据包进入一个端口，路由器检查这个数据包是否可路由。如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据包。如果有，根据ACL中的条件指令，检查这个数据包。如果数据包是被允许的，就查询路由表，决定数据包的目标端口。
2. 路由器检查目标端口是否存在ACL控制流出的数据包。若不存在，这个数据包就直接发送到目标端口。若存在，就再根据ACL进行取舍。然后在转发到目的端口。

  总之，一入站数据包，由路由器处理器调入内存，读取数据包的包头信息，如目标IP地址，并搜索路由器的路由表，查看是否在路由表项中，如果有，则从路由表的选择接口转发（如果无，则丢弃该数据包），数据进入该接口的访问控制列表（如果无访问控制规则，直接转发），然后按条件进行筛选。

  当ACL处理数据包时，一旦数据包与某条ACL语句匹配，则会跳过列表中剩余的其他语句，根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配，那么将依次使用ACL列表中的下一条语句测试数据包。该匹配过程会一直继续，直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配，通常会隐含拒绝一切数据包的指令。此时路由器不会让这些数据进入或送出接口，而是直接丢弃。最后这条语句通常称为隐式的“deny any”语句。由于该语句的存在，所以在ACL中应该至少包含一条permit语句，否则，默认情况下，ACL将阻止所有流量。

3、分类：

1. 标准IP访问列表：一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。

2. 扩展IP访问：扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。

3. 命名的IP访问：所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。

4. 标准IPX访问：标准IPX访问控制列表的编号范围是800-899，它检查IPX源网络号和目的网络号，同样可以检查源地址和目的地址的节点号部分。

5. 扩展IPX访问：扩展IPX访问控制列表在标准IPX访问控制列表的基础上，增加了对IPX报头中以下几个字段的检查，它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。

6. 命名的IPX访问：与命名的IP访问控制列表一样，命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表，同样有标准和扩展之分。

4、ACL的使用：

1. 创建访问控制列表ACL，根据实际需要设置对应的条件项
2. 将ACL应用到路由器指定接口的指定方向(in/out)上

在ACL的配置与使用中需要注意以下事项：

1. ACL是自顶向下顺序进行处理，一旦匹配成功，就会进行处理，且不再比对以后的语句，所以ACL中语句的顺序很重要。应当将最严格的语句放在最上面，最不严格的语句放在底部。
2. 当所有语句没有匹配成功时，会丢弃分组。这也称为ACL隐性拒绝。
3. 每个接口在每个方向上，只能应用一个ACL。
4. 标准ACL应该部署在距离分组的目的网络近的位置，扩展ACL应该部署在距离分组发送者近的位置。

5、应用场景：

1. 匹配IP流量（可基于源，目的IP地址，协议类型，端口号等类型）
2. 在Traffic-fiter中被调用
3. 在NAT中被调用
4. 在路由策略调用
5. 在IPSec VPN中被调用
6. 在防火墙的策略部署中被调用
7. 在QoS中被调用

6、路由器配置ACL：

https://blog.csdn.net/w13711790476/article/details/118876287

举例：
基本acl：
    acl number 2001  
    description ######                                                                
    rule 10 deny source 10.1.1.0 0.0.0.255                                            
    rule 20 deny source 10.2.2.0 0.0.0.255                                           
    rule 30 deny source 10.3.3.0 0.0.0.255   
高级acl：
    acl number 3012   
    description ######                                                                
    rule 5 deny tcp destination 192.168.2.2 0 none-first-fragment                   
    rule 10 permit tcp destination 192.168.2.2 0 destination-port eq www            
    rule 15 deny ip    
1
2
3
4
5
6
7
8
9
10
11
12
13

1. 规则：

   1. 规则编号：一般都是自定义规则编号，比如10 20 30 40 这样。中间是带有数字间隙，主要是为了以后可以出入新的规则编号。系统默认步长是5，可以更改

   2. 匹配顺序：

      

   3. 通配符：
      0–>表示精准匹配，1–>表示无所谓

      源IP：source { x.x.x.x | any }

      目的IP：destination { x.x.x.x | any }

      eg：rule 5 permit ip source 192.168.1.0 0.0.0.255，表示来自192.168.1.0/24网段的所有IP报文都能通过

   4. 生效时间：\

   5. 端口号操作符：

      | 操作符 | 含义 |
      |–|--|
      | Equal port number | 等于端口号 |
      |greater-than port number | 大于端口号 |
      | Less-than port number | 小于端口号 |
      | not-equal port number | 不等于端口号 |
      | range port number1 port number2 | 介于端口号1和端口号2之间 |

   6. 查看ACL的配置信息：display acl { acl-number | name acl-name | all }

   7. 查看报文匹配硬件ACL的统计信息：display acl hardware statistics [ acl-number | name acl-name ]

   8. 举例：

      acl 3000
      rule 5 permit ip source 192.168.30.1 0 destination 192.168.10.1 0
      rule 10 permit tcp source 192.168.20.1 0 destination 192.168.1.1 0 destination-port eq 80
      rule 15 deny udp source any 
      1
      2
      3
      4