GA黄金甲

GA黄金甲·(中国集团)官方网站

中文

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

登录

GA黄金甲·(中国集团)官方网站

产品

< 返回主菜单

产品

解决规划

< 返回主菜单

解决规划中心

行业

服务支持

合作同伴

关于GA黄金甲

投资者关系

返回主菜单

选择区域/说话

GA黄金甲·(中国集团)官方网站

首页 >服务与支持 >常见问题 >ACL是什么，若何配置？

ACL是什么，若何配置？

颁布功夫：2023-03-24

点击量：3516

ACL职能介绍

ACL（Access Control List，接见节造列表）也称为接见列表，有的文档中还称之为包过滤。ACL通过界说一系列蕴含“允许”或“回绝”的规定语句，并将这些规定利用到设备接口上，对进出接口的数据包进行节造，从而提升网络设备的安全性。

配置ACL可能保险网络安全、靠得住和不变，例如：

l 预防报文攻击：针对IP、TCP或者ICMP报文的攻击，对这些攻击报文做“回绝”处置。

l 网络接见节造：限杜酌户接见服务，例如只允许接见WWW和电子邮件服务，其他服务如Telnet则不容�；蛘咧辉市碓诟ǖ墓Ψ蚨文诮蛹�，或者只允许特定主机接见网络等。

l 网络流量节造：结合QoS可以为沉要的数据流进行优先服务保障。关于QoS的配置请拜见“QoS”。

工作道理

1. 根基概想

l 接见列表

接见列表有：根基接见列表和动态接见列表。

用户能够凭据必要选择根基接见列表或动态接见列表。通常情况下，使用根基接见列表已经可能满足安全必要。但攻击者可能通过软件假冒源地址糊弄设备，从而接见网络。而动态接见列表在用户接见网络以前，要求通过身份认证，使攻击者难以接见网络。在敏感区域能够使用动态接见列表保障网络安全。

注明

通过假冒源地址糊弄设备即电子糊弄是所有接见列表固有的问题，使用动态列表也会遭逢电子糊弄问题：攻击者可能在用户通过身份认证的有效接见期间，假冒用户的地址接见网络。解决该问题的步骤有两种，一种是尽量设置更短的用户接见空闲功夫；另一种是使用IPsec加密和谈对网络数据进行加密，确保进入设备时，所有的数据都是加密的。

接见列表通常配置在以下地位的网络设备上：

○ 内部网和表部网（如Internet）之间的设备

○ 两个网络接壤部门的设备

○ 接入节造端口的设备

l ACE

ACE（Access Control Entry，接见节造条款）是蕴含“允许（Permit）”或“回绝（Deny）”两种作为，以及过滤规定的一条语句。每个ACE都有一个序号，该序号可由设备自动分配或者手动配置。一条ACL中蕴含一个或者多个ACE。ACL通过ACE对数据包进行标识过滤。

ACL中ACE的挨次决定了该ACE在接见列表中的匹配优先级。网络设备在处置报文时，按ACE的序号从幼到猛进行规定匹配，倒匾到匹配的ACE后则终场查抄后续的ACE。

例如创建一条序号为10的ACE，它回绝所有的数据流通过。

10 deny ip any any

20 permit tcp 192.168.12.0 0.0.0.255 eq telnet any

由于序号为10的ACE回绝了所有的IP报文，即便192.168.12.0/24网络的主机Telnet报文，能够被序号为20的ACE匹配，该报文也将被回绝。由于设备在查抄到报文和序号为10的ACE匹配后，便终场查抄后面序号为20的ACE。

又例如创建一条编号为10的ACE，它允许所有的IPv6数据流通过。

10 permit ipv6 any any

20 deny ipv6 host 200::1 any

由于序号为10的ACE允许所有的IPv6报文通过，主机200::1发出的IPv6报文，即便匹配序号为20的ACE，该报文也将被允许通过。由于设备在查抄到报文和第一条ACE匹配，便终场查抄后面序号为20的ACE。

l 步长

当设备为ACE自动分配序号时，两个相邻ACE序号之间的差值，称为步长。例如，若是将步长设定为5，则设备依照5、10、15…这样的递增挨次自动为ACE分配序号。如下所示。

5 deny ip any any

10 permit tcp 192.168.12.0 0.0.0.255 eq telnet any

当步长扭转后，ACE序号会自动按新步长值沉新分配。例如，当把步长改为10后，原来ACE序号从5、10、15造成5、15、25。

通过扭转步长能够在两个ACE之间插入新的ACE。例如创建了4个ACE，并通过手动配置ACE序号别离为1、2、3和4。若是但愿能在序号1后面插入一条新的ACE，则能够先将步长批改为2，此时原先4个ACE的序号自动变为1、3、5和7，再插入一条手动配置的序号为2的ACE。

l 过滤域模板

过滤域指的是天生一条ACE时，凭据报文中的哪些字段对报文进行鉴别、分类。过滤域模板就是这些字段的组合。ACE凭据以太网报文的某些字段来标识以太网报文，这些字段蕴含：

二层字段（Layer 2 Fields）：

○ 48位的源MAC地址（必须申明所有48位）

○ 48位的主张MAC地址（必须申明所有48位）

○ 16位的二层类型字段

三层字段（Layer 3 Fields）：

○ 源IP地址字段（能够申明全数源IP地址值，或使用子网来界说一类流）

○ 主张IP地址字段（能够申明全数主张IP地址值，或使用子网来界说一类流）

○ 和谈类型字段

四层字段（Layer 4 Fields）：

○ 能够申明一个TCP的源端口、主张端口或者都申明，还能够申明源端口或主张端口的领域。

○ 能够申明一个UDP的源端口、主张端口或者都申明，还能够申明源端口或主张端口的领域。

例如，在创建一条ACE时必要凭据报文的主张IP字段，对报文进行鉴别和分类。而在创建另一条ACE时，必要凭据报文的源IP地址字段和UDP的源端口字段，对报文进行鉴别和分类。这两条ACE就使用了分歧的过滤域模板。

l 规定

规定（Rules）指的是ACE过滤域模板对应的值。例如，一条ACE的内容如下：

10 permit tcp host 192.168.12.2 any eq telnet

在这条ACE中，过滤域模板为以下字段的集中：源IP地址字段、主张IP地址字段、IP和谈字段、TCP主张端口字段。对应的值（即规定）别离为：源IP地址为Host 192.168.12.2、主张IP地址为Any（即所有主机）、IP和谈为TCP、TCP主张端口为Telnet。如图1-1所示。

图1-1 对ACE：permit tcp host 192.168.12.2 any eq telnet的分析

典型配置举例

IP尺度ACL配置举例

1. 组网需要

通过配置IP尺度ACL，不容财政部以表的部门接见财政数据服务器。

2. 组网图

图1-3 IP尺度ACL利用场景组网图

3. 配置重点

l Device A配置IP尺度ACL并增长接见规定。

l Device A将IP尺度ACL利用在衔接财政数据服务器接口的出方向上。

4. 配置步骤

(1) 配置IP尺度ACL并增长接见规定。

# Device A配置IP尺度ACL并增长接见规定。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# ip access-list standard 1

DeviceA(config-std-nacl)# permit 10.1.1.0 0.0.0.255

DeviceA(config-std-nacl)# deny 11.1.1.1 0.0.0.255

DeviceA(config-std-nacl)# exit

(2) 将IP尺度ACL利用到接口上。

# Device A将ACL利用在衔接财政数据服务器接口的出方向上。

DeviceA(config)# interface gigabitethernet 0/3

DeviceA(config-if-GigabitEthernet 0/3)# ip access-group 1 out

5. 验证配置了局

# 查抄Device A设备ACL配置号令是否正确。

DeviceA# show access-lists

ip access-list standard 1

10 permit 10.1.1.0 0.0.0.255

20 deny 11.1.1.0 0.0.0.255

DeviceA# show access-group

ip access-group 1 out

Applied On interface GigabitEthernet 0/3

# 从开发部的某台PC机上ping财政数据服务器，确认ping不通。

# 从财政部的某台PC机上ping财政数据服务器，确认能ping通。

6. 配置文件

l DeviceA的配置文件

hostname DeviceA

!

ip access-list standard 1

10 permit 10.1.1.0 0.0.0.255

20 deny 11.1.1.0 0.0.0.255

!

interface GigabitEthernet 0/1

no switchport

ip address 10.1.1.1 255.255.255.0

!

interface GigabitEthernet 0/2

no switchport

ip address 11.1.1.1 255.255.255.0

!

interface GigabitEthernet 0/3

no switchport

ip access-group 1 out

ip address 12.1.1.1 255.255.255.0

!

更多案例

IP扩大ACL配置举例

MAC扩大ACL配置举例

专家级扩大ACL配置举例

IPv6 ACL配置举例

ACL80配置举例

基于功夫段的ACL规定配置举例

SVI Router ACL配置举例

CL报文计数统计配置举例

您可能还关注的问题

售前征询
售后服务
定见反馈

GA黄金甲·(中国集团)官方网站

返回顶部

收起

文档AI副手

文档评价

该资料是否解决了您的问题？

您对当前页面的中意度若何？

不咋滴

极度好

您中意的原因是（多�。�？

您不中意的原因是（多�。�？

您是否还有其他问题或建议？

为了急剧解决并回复您的问题，您能够留下联系方式

邮箱

手机号

我已赞成并阅读隐衷政策

ev-bg

感激您的反�。�

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

GA黄金甲·(中国集团)官方网站

请选择服务项目

售前征询

售后服务

定见反馈

更多联系方式

【网站地图】