锐捷睿易 锐捷官方商城

中文

产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机

园区网交换机

园区网交换机

数据中心与云计算交换机

数据中心与云计算交换机

行业精选交换系列

行业精选交换系列

工业交换机

工业交换机

意图网络指挥官

意图网络指挥官

SDN

SDN

配件

配件
查看交换机首页 >

所有技术解决方案

路由器

路由器所有产品
< 返回产品
路由器

核心路由器

核心路由器

汇聚路由器

汇聚路由器

接入路由器

接入路由器

移动路由器

移动路由器

路由器应用软件

路由器应用软件

行业精选路由器系列

行业精选路由器系列
查看路由器首页 >

所有技术解决方案

无线

无线所有产品
< 返回产品
无线

放装型无线接入点

放装型无线接入点

墙面型无线接入点

墙面型无线接入点

智分无线接入点

智分无线接入点

室外无线接入点

室外无线接入点

场景化无线

场景化无线

无线控制器

无线控制器

行业精选无线系列

行业精选无线系列

无线管理与应用

无线管理与应用
查看无线首页 >

所有技术解决方案

云桌面

云桌面产品方案中心
< 返回产品
云桌面

云终端系列

云终端系列
查看云终端选型指导

云主机系列

云主机系列

云桌面软件系列

云桌面软件系列

配件系列

配件系列
查看云桌面首页 >

所有技术解决方案

安全

安全所有产品
< 返回产品
安全

大数据安全平台

大数据安全平台

下一代防火墙

下一代防火墙

安全网关

安全网关

检测管理安全

检测管理安全

应用防护安全

应用防护安全

安全服务

安全服务

安全云

安全云
查看安全首页 >

所有技术解决方案

统一运维

统一运维所有产品
< 返回产品
统一运维

IT运维产品

IT运维产品
查看统一运维首页 >

所有技术解决方案

身份管理

身份管理所有产品
< 返回产品
身份管理

安全管理系列

安全管理系列

运营管理系列

运营管理系列

身份中台

身份中台
查看身份管理首页 >

服务产品

服务产品所有产品
< 返回产品
服务产品

基础实施服务

基础实施服务

基础维护服务

基础维护服务

运维管理服务

运维管理服务

整网服务

整网服务

安全服务

安全服务

备件与扩容服务

备件与扩容服务

培训与认证服务

培训与认证服务
查看服务产品首页 >
产品中心首页 >

官方商城

锐捷睿易

体验中心
行业
行业中心
< 返回主菜单
行业

运营商

运营商
< 返回行业
运营商
运营商首页 >

政府

政府
< 返回行业
政府
政府首页 >

金融

金融
< 返回行业
金融
金融首页 >

互联网

互联网
< 返回行业
互联网
互联网首页 >

制造业

制造业
< 返回行业
制造业
制造业首页 >

高教/职教

高教/职教
< 返回行业
高教/职教
高教/职教首页 >

普教

普教
< 返回行业
普教
普教首页 >

医疗卫生

医疗卫生
< 返回行业
医疗卫生
医疗卫生首页 >

交通

交通
< 返回行业
交通
交通首页 >

公共安全

公共安全
< 返回行业
公共安全
公共安全首页 >
行业中心首页 >

锐捷睿易

体验中心
服务支持
< 返回主菜单
服务与支持
服务工具
服务平台
技术支持
服务产品
产品服务
教学服务
服务与支持中心 >
合作伙伴
< 返回主菜单
合作伙伴
成为锐捷伙伴
售前营销
销售与订单
售后及服务
用户中心
合作伙伴中心 >
关于锐捷
< 返回主菜单
关于锐捷
公司介绍
公司动态
加入我们
联系我们
营销资料平台
关于锐捷首页 >
投资者关系
登录 登录 锐捷商城 锐捷商城 区域/语言 区域/语言
返回主菜单
选择区域/语言
  • Global / English
  • Japan / 日本語
  • Türkiye / Türkçe
  • Vietnam / Việt Nam
  • Indonesia / Indonesian
  • Thailand / ภาษาไทย
  • Spain / Español (España)
  • Portugal / Português
  • France / Français
  • Poland / Polski
  • Kazakhstan / Pусский
  • Germany / Deutsch
  • Italy / Italiano
  • Brazil / Português(Brazil)
  • LATAM / Español (América Latina))

    首页 >服务与支持 >常见问题 >ACL是什么,如何配置?

    ACL是什么,如何配置?

    发布时间:2023-03-24
    点击量:754

     ACL功能介绍

    ACLAccess Control List,访问控制列表)也称为访问列表,有的文档中还称之为包过滤。ACL通过定义一系列包含允许拒绝的规则语句,并将这些规则应用到设备接口上,对进出接口的数据包进行控制,从而提升网络设备的安全性。

    配置ACL能够保障网络安全、可靠和稳定,例如:

    l  防止报文攻击:针对IPTCP或者ICMP报文的攻击,对这些攻击报文做“拒绝”处理。

    l  网络访问控制:限制用户访问服务,例如只允许访问WWW和电子邮件服务,其他服务如Telnet则禁止。或者只允许在给定的时间段内访问,或者只允许特定主机访问网络等。

    l  网络流量控制:结合QoS可以为重要的数据流进行优先服务保证。关于QoS的配置请参见“QoS”。

    工作原理

    1.    基本概念

    l  访问列表

    访问列表有:基本访问列表和动态访问列表。

    用户可以根据需要选择基本访问列表或动态访问列表。一般情况下,使用基本访问列表已经能够满足安全需要。但攻击者可能通过软件假冒源地址欺骗设备,从而访问网络。而动态访问列表在用户访问网络以前,要求通过身份认证,使攻击者难以访问网络。在敏感区域可以使用动态访问列表保证网络安全。

    *     说明

    通过假冒源地址欺骗设备即电子欺骗是所有访问列表固有的问题,使用动态列表也会遭遇电子欺骗问题:攻击者可能在用户通过身份认证的有效访问期间,假冒用户的地址访问网络。解决该问题的方法有两种,一种是尽量设置更短的用户访问空闲时间;另一种是使用IPsec加密协议对网络数据进行加密,确保进入设备时,所有的数据都是加密的。

     

    访问列表一般配置在以下位置的网络设备上:

             内部网和外部网(如Internet)之间的设备

             两个网络交界部分的设备

             接入控制端口的设备

    l  ACE

    ACEAccess Control Entry,访问控制条目)是包含“允许(Permit)”或“拒绝(Deny)”两种动作,以及过滤规则的一条语句。每个ACE都有一个序号,该序号可由设备自动分配或者手动配置。一条ACL中包含一个或者多个ACEACL通过ACE对数据包进行标识过滤。

    ACLACE的顺序决定了该ACE在访问列表中的匹配优先级。网络设备在处理报文时,按ACE的序号从小到大进行规则匹配,当找到匹配的ACE后则停止检查后续的ACE

    例如创建一条序号为10ACE,它拒绝所有的数据流通过。

    10 deny ip any any

    20 permit tcp 192.168.12.0 0.0.0.255 eq telnet any

    由于序号为10ACE拒绝了所有的IP报文,即使192.168.12.0/24网络的主机Telnet报文,可以被序号为20ACE匹配,该报文也将被拒绝。因为设备在检查到报文和序号为10ACE匹配后,便停止检查后面序号为20ACE

    又例如创建一条编号为10ACE,它允许所有的IPv6数据流通过。

    10 permit ipv6 any any

    20 deny ipv6 host 200::1 any

    由于序号为10ACE允许所有的IPv6报文通过,主机200::1发出的IPv6报文,即使匹配序号为20ACE,该报文也将被允许通过。因为设备在检查到报文和第一条ACE匹配,便停止检查后面序号为20ACE

    l  步长

    当设备为ACE自动分配序号时,两个相邻ACE序号之间的差值,称为步长。例如,如果将步长设定为5,则设备按照51015…这样的递增顺序自动为ACE分配序号。如下所示。

    5 deny ip any any

    10 permit tcp 192.168.12.0 0.0.0.255 eq telnet any

    当步长改变后,ACE序号会自动按新步长值重新分配。例如,当把步长改为10后,原来ACE序号从51015变成51525

    通过改变步长可以在两个ACE之间插入新的ACE。例如创建了4ACE,并通过手动配置ACE序号分别为1234。如果希望能在序号1后面插入一条新的ACE,则可以先将步长修改为2,此时原先4ACE的序号自动变为1357,再插入一条手动配置的序号为2ACE

    l  过滤域模板

    过滤域指的是生成一条ACE时,根据报文中的哪些字段对报文进行识别、分类。过滤域模板就是这些字段的组合。ACE根据以太网报文的某些字段来标识以太网报文,这些字段包括:

    二层字段(Layer 2 Fields):

             48位的源MAC地址(必须申明所有48位)

             48位的目的MAC地址(必须申明所有48位)

             16位的二层类型字段

    三层字段(Layer 3 Fields):

             IP地址字段(可以申明全部源IP地址值,或使用子网来定义一类流)

             目的IP地址字段(可以申明全部目的IP地址值,或使用子网来定义一类流)

             协议类型字段

    四层字段(Layer 4 Fields):

             可以申明一个TCP的源端口、目的端口或者都申明,还可以申明源端口或目的端口的范围。

             可以申明一个UDP的源端口、目的端口或者都申明,还可以申明源端口或目的端口的范围。

    例如,在创建一条ACE时需要根据报文的目的IP字段,对报文进行识别和分类。而在创建另一条ACE时,需要根据报文的源IP地址字段和UDP的源端口字段,对报文进行识别和分类。这两条ACE就使用了不同的过滤域模板。

    l  规则

    规则(Rules)指的是ACE过滤域模板对应的值。例如,一条ACE的内容如下:

    10 permit tcp host 192.168.12.2 any eq telnet

    在这条ACE中,过滤域模板为以下字段的集合:源IP地址字段、目的IP地址字段、IP协议字段、TCP目的端口字段。对应的值(即规则)分别为:源IP地址为Host 192.168.12.2、目的IP地址为Any(即所有主机)、IP协议为TCPTCP目的端口为Telnet。如1-1所示。

    图1-1     ACEpermit tcp host 192.168.12.2 any eq telnet的分析

    典型配置举例

     IP标准ACL配置举例

    1.    组网需求

    通过配置IP标准ACL,禁止财务部以外的部门访问财务数据服务器。

    2.    组网图

    图1-3     IP标准ACL应用场景组网图

     

    3.    配置要点

    l  Device A配置IP标准ACL并添加访问规则。

    l  Device AIP标准ACL应用在连接财务数据服务器接口的出方向上。

    4.    配置步骤

    (1)   配置IP标准ACL并添加访问规则。

    # Device A配置IP标准ACL并添加访问规则。

    DeviceA> enable

    DeviceA# configure terminal

    DeviceA(config)# ip access-list standard 1

    DeviceA(config-std-nacl)# permit 10.1.1.0 0.0.0.255

    DeviceA(config-std-nacl)# deny 11.1.1.1 0.0.0.255

    DeviceA(config-std-nacl)# exit

    (2)   IP标准ACL应用到接口上。

    # Device AACL应用在连接财务数据服务器接口的出方向上。

    DeviceA(config)# interface gigabitethernet 0/3

    DeviceA(config-if-GigabitEthernet 0/3)# ip access-group 1 out

    5.    验证配置结果

    检查Device A设备ACL配置命令是否正确。

    DeviceA# show access-lists

     

    ip access-list standard 1

    10 permit 10.1.1.0 0.0.0.255

    20 deny 11.1.1.0 0.0.0.255

     

    DeviceA# show access-group

    ip access-group 1 out

    Applied On interface GigabitEthernet 0/3

    从开发部的某台PC机上ping财务数据服务器,确认ping不通。

    从财务部的某台PC机上ping财务数据服务器,确认能ping通。

    6.    配置文件

    l  DeviceA的配置文件

    hostname DeviceA

    !

    ip access-list standard 1

     10 permit 10.1.1.0 0.0.0.255

     20 deny 11.1.1.0 0.0.0.255

    !

    interface GigabitEthernet 0/1

     no switchport

     ip address 10.1.1.1 255.255.255.0

    !

    interface GigabitEthernet 0/2

     no switchport

     ip address 11.1.1.1 255.255.255.0

    !

    interface GigabitEthernet 0/3

     no switchport

     ip access-group 1 out

     ip address 12.1.1.1 255.255.255.0

    !

    更多案例

    IP扩展ACL配置举例

    MAC扩展ACL配置举例

    专家级扩展ACL配置举例

    IPv6 ACL配置举例

    ACL80配置举例

    基于时间段的ACL规则配置举例

    SVI Router ACL配置举例

    CL报文计数统计配置举例

     

    您可能还关注的问题

    返回顶部

    请选择服务项目
    关闭咨询页
    售前咨询 售前咨询
    售前咨询
    售后服务 售后服务
    售后服务
    意见反馈 意见反馈
    意见反馈
    更多联系方式
    是否找到您想要的内容?
    您遇到了什么问题?
    找不到想要的信息
    筛选功能不好用
    加载速度太慢
    页面体验差
    提交
    您是否找到了与产品相关的文档
    筛选功能是否帮助您更快找到所需的文档?
    有帮助
    一般
    没有帮助
    没用过
    请问您遇到了什么问题?
    需要填写的内容太多
    有些信息不懂怎么填
    页面有问题/错误
    其他
    确定
    这些客户案例是否对您有帮助?
    非常有帮助
    比较有帮助
    没有帮助
    请您对这个客户案例进行评价
    兴趣度
    相关性
    可信度
    确定
    感谢您的反馈!
    感谢您的反馈!