网站建设如何做用户名密码,seo技巧分享,微信推广渠道,wordpress customizr基本概念
ACL#xff0c;即Access Control List#xff08;访问控制列表#xff09;#xff0c;每个ACL但是是由单条或多条Rule#xff08;规则#xff09;组成的一个集合
技术背景#xff1a;
1.用户需求#xff1a;
用户对网络服务体验的要求越来越高#xff0c…基本概念
ACL即Access Control List访问控制列表每个ACL但是是由单条或多条Rule规则组成的一个集合
技术背景
1.用户需求
用户对网络服务体验的要求越来越高这促使网管使用一种能够实现过滤、匹配的技术来进行精细的控制和优化网络服务的流量路径ACL刚刚满足这样的条件
2.安全需求
随着企业或其他组织机构的扩张其网络规模越来越大来自网络中的威胁也越来越泛滥。为了保护内部重要的网络资源不被未授权的流量访问可以通过定义ACL规则来拒绝那些流量
3.企业内部的访问控制需求
在中大型组织机构中每个部门之间都会定义访问控制基于访问控制的最小权限原则每个部门应只被赋予其工作所需要的一个访问权限来确保一些敏感信息或私密的网络资源只能够被授权人员看到。
ACL的匹配机制 如图是为ACL的匹配机制流程图。
可以看到首先会判断引用的ACL是否存在
然后会判断acl是否存在rule
然后再依照规则编号从第一条Rule开始分析
常用的ACL分类
简介
常用的ACL可以分为基本ACL2000-2999、高级ACL3000-3999
基本ACL
简介
基本ACL是一种比较原始的匹配方式只能通过对源地址的匹配实现流量匹配
配置
acl 2000rule 5 permit source 192.168.1.0 0.0.0.255
匹配语句分析
规则编号5放行源地址为192.168.1.0/24的流量
但是发现没我配置里写的掩码是0.0.0.255而不是255.255.255.0
这个叫通配符可不是ospf里的反掩码尽管很相似但是原理不太一样
我们化成二进制来看
正掩码11111111.11111111.11111111.00000000
通配符00000000.00000000.00000000.11111111
在通配符的定义中0表示严格匹配1表示宽松匹配
而反掩码的定义则就是正掩码倒过来写因此原理是不太一样的
高级ACL
简介
高级acl是一种扩展acl不仅能够基于源地址、源端口实现对流量的匹配也能基于目标地址
、目标端口对流量进行配置还能并且能够同时基于源目IP、源目端口、传输层协议实现一个对流量的精细控制这五大参数组成起来叫做五元组且协议必须为传输协议TCP或UDP否则不叫做五元组。四元组则是源目IP与源目端口四大参数
配置
acl 3000rule 5 permit tcp source 192.168.1.0 0.0.0.255 source-port eq 1000 destination
192.168.2.0 0.0.0.255 destination-port eq 3000
匹配语句分析
规则编号5放行通信协议为TCP、源地址为192.168.1.0/24、源端口为1000eq表示equal相等、等于、目标地址为192.168.2.0/24目标端口为3000的流量
尾声
那么ACL的内容就到此为止我们下次再见
