ACL配置與管理（一）

一、acl基礎

1、acl概述

acl是乙個按順序應用於資料報的「允許」（permit）和「拒絕」（deny）條件的集合。acl使用包過濾技術，在交換機、路由器和防火牆上讀取第二層、第三層、第四層包頭中的資訊，根據預定好的規則對包進行過濾，從而達到訪問控制的目的。在乙個介面上接收到乙個包，當介面上接收到資料報時，資料報中的包頭資訊就會與acl規則中的對應引數按照自上到下或者列表規則序列號的由小到大進行比較，如果允許通過，則繼續**資料報，否則禁止通過。對每個包的最終處理行為只由第乙個匹配的規則來決定，只要有一條規則與資料報包頭的相應資訊匹配，即停止與後續的規則進行比較，如果沒有匹配的規則，則拒絕該資料報通過，這就是cisco acl中最後都有一條deny ip any any規則的用途所在。

目前cisco ios交換機僅有ip acl和mac acl：

（1）ip acl：過濾ip通訊，包括tcp、udp、igmp、icmp協議型別的資料報。

（2）mac acl：基於mac位址或者乙太網型別過濾非ip通道。

從acl中的過濾條件配置角度對ip acl和mac acl進行細分：

（1）標準acl：包括標準ipv4/ipv6 acl，僅可依據資料報的源ip位址來過濾。

（2）擴充套件acl：包括基於ipv4/ipv6的擴充套件acl（可以同時依據資料報的源ip位址、目的ip位址、源埠、目的埠、資料報協議型別、資料報協議埠等許多方面進行過濾）；基於mac位址的acl（可以依據資料報中的源mac位址、目的mac位址、乙太網型別等條件進行過濾）。

在acl標識方面，又分基於列表號和名稱兩種不同型別。

2、acl的應用

acl能夠控制交換機、路由器或防火牆介面上允許或禁止路由包通過，以此來實現網路通訊的過濾。acl可以基於每個基本的通訊協議來定義，如果要通過協議來控制路由器介面上的通訊流，就應該為網路中每個啟用了的通訊協議定義acl，不同協議型別的acl所對應的列表號範圍是不一樣的。

3、cisco ios交換機中acl的應用型別

如果從acl的應用位置來看，cisco裝置支援racl（routeracl，路由器acl）、pacl（port acl，埠acl）和vacl（vlan acl，虛擬區域網acl，也稱vlan對映）三種不同的acl型別。

（1）racl（路由器acl）

可以在網路裝置的三層介面上應用racl，三層介面包括：物理三層路由介面、vlan的三層介面（svi）、三層乙太網通道介面。也就是把應用於這類三層介面上的acl統稱為racl。這裡的三層通訊就是ip協議，可以在三層介面的出/入方向上應用乙個ip acl。但如果沒有足夠的cam（contentaddressable，內容可定址儲存器）空間存在，出埠acl將不會在埠上應用，並會彈出乙個錯誤資訊，當有足夠的cam空間存在時，可以應用出埠acl。racl型別決定了匹配操作的行為：標準ipv4 acl是使用源ip位址進行匹配操作的，而擴充套件ipv4 acl則是使用源ip位址、目的ip位址和可選項的協議型別資訊進行匹配操作。

交換機在給定介面上配置的功能和方向上對acl進行檢查：當包進入交換機時，則該介面上配置的acl所有入方向上的特徵配置都將被檢查；當資料報被路由後，在**到下一跳（hop）之前，該介面上配置的acl所有方向上的特徵配置都將被檢查。acl決定資料報是允許還是禁止通過，依據的是對應資料報與acl上配置的規則匹配情況。

（2）pacl（埠acl）

可以在交換機的二層介面上應用acl，包括ip acl（包括標準ip acl和擴充套件ip acl）和mac acl（在三層介面上僅可應用ipacl，也就是racl），這就是基於埠中的pacl，pacl支援物理二層埠和二層乙太網通道介面。可以在同乙個二層介面上同時應用ipv4 acl和mac acl，以實現同時過濾ip通訊和非ip通訊。

（3）vacl（虛擬區域網acl）

vacl就是基於vlan的acl，是acl的一種擴充套件應用，將乙個已建立好的acl應用到乙個vlan中，vacl的關鍵技術就是vlan對映（vlan map），實際上是一種vlan訪問對映表，將指定vlan中的所有二層和三層通訊都對映到指定的acl中，它是控制乙個vlan內部的通訊通過，可以在交換機上的所有方向路由資料報，或者對乙個vlan內部的所有橋接資料報應用vlan對映。

ACL配置與管理（一）

ACL配置與管理實戰 4

ACL原理與配置

ACL的原理與基本ACL的配置

ACL配置與管理（一）

ACL配置與管理實戰 4

ACL原理與配置

ACL的原理與基本ACL的配置

相關推薦