ACL 访问控制列表

 

 一、产生背景

二、ACL概念 以及如何实现
　　1. 根据不同的规则
　　对数据包进行分类
　　对不同类型报文进行处理
　　实现对网络行为的控制，限制网络流量。。。


2.匹配和不匹配
　　针对某个网段的数据流量进行操作，匹配上了就执行，没有匹配上，就不执行控制列表内的内容
　　ACL的对数据执行的动作 ：允许/拒绝---》 针对与流量

3.ACL的分类
　　*基本 2000-2999 基于源IP地址的控制
　　*高级 3000-3999 源目IP地址，源目端口号
　　二层 4000-4999 基于源目MAC地址，以太网帧类型


4.ACL如何实现
　　1>.确定部署位置
　　部署在流量的必经之路上
　　靠近源部署
　　集中化部署 ---> 尽量少 而精细的部署ACL规则

　　路由器无法控制来源于自身的数据包

　　2>.匹配对应的流量
　　考虑对流量的 允许 / 拒绝
　　考虑 匹配到的网段/主机的IP地址

　　0，表示 ACL在检查数据流量的时候， 0对应的位 要 检查
　　1，对应的位则不关心

　　3>.决定调用的方向 ----》ACL的掉用 一定在接口上调用的

　　in/ out 针对与 流量 进入 出 路由器的 行为

　　观察流量 流经 接口的方式

　　inbound 方向上调用，先调用ACL，在进行路由转发(对于未匹配上的流量，或者 拒绝的流量，则不进行路由转发)
　　outbound 方向上调用，先路由转发，在调用ACL (如果路由器根据路由表 找到数据的逃出接口，则在逃出接口上进行ACL的匹配)


4.测试
　　查看ACL的条目
　　查看ACL部署在哪一个接口上，
　　查看部署的方向 in out


5.ACL的匹配规则
　　按序匹配 从上到下依次匹配，匹配立即停止(命中即生效)
　　黑白名单 白名单模式，只有匹配上的流量才能进行 permit/deny的操作，
　　隐式拒绝 一个ACL启用，在不做任何配置的情况下，默认不允许任何数据通过
　　ACL最后的规则要设置一个 允许所有的流量通过