为什么会产生ACL?
需要一个工具,实现流量过滤(有限的访问)。如某公司为保证财务数据安全,禁止研发部门访问财务服务器,但总裁办公室不受限制。
ACL有什么用?
ACL是一个匹配工具,作用是识别并区分报文。其他技术通过调用ACL,就可以:
(1)控制网络访问(2)防止网络攻击(3)提高网络利用率
具体应用有:
(1)匹配IP流量
(2)在Traffic-filter中被调用
(3)在NAT中调用ACL,规定哪些数据包需要地址转换。
(4)在路由策略中被调用
(5)在防火墙的策略部署中被调用
(6)在QoS中调用ACL,对不同类别的数据提供有差别的服务。
ACL的组成是什么?
ACL是由一系列permit或deny语句组成的,有次序规则的列表。
ACL编号:用来区分ACL,不同分类的ACL编号范围也不同。
规则:每条语句就是该ACL的一个规则。
规则编号:用来区分规则,可以自定义或系统分配,所有规则都按规则编号从小到大排序。如5,10,15,20...
动作:每条规则中的permit或deny,就是这条规则的处理动作。
匹配项:用户感兴趣的报文。
路由器的一个接口一个方向只能绑定一个ACL,一个ACL可以应用到多个接口。
通配符
通配符是什么?
通配符是一个32bit长度的数值,通常采用类似网络掩码的点分十进制形式表示,但是含义与网络掩码完全不同。
通配符有什么功能?
IP地址+通配符,可以表示若干IP地址的集合。比如192.168.1.1 0.0.0.254可以表示192.168.1.0/24网段中奇数IP地址的集合。
通配符如何实现上述功能?
IP地址+通配符,可以指示IP地址中哪些比特位需要严格匹配,哪些比特位无需匹配。
通配符换算成二进制后,“0”表示需要匹配,“1”表示不关心。
ACL设计思路
(1)使用基本ACL还是高级ACL?
(2)在哪个路由器上进行控制?在哪个接口上进行控制?在哪个方向上进行控制?
(3)ACL规则的顺序是什么?