访问控制列表ALC
作者:互联网
ALC
ALC的基本原理
ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。
ACl是一组规则的集合,它应用在路由器的某个接口上。对路由器接口而言,访问控制列表有两个方向。
出:已经过路由器的处理,正离开路由器的数据包。
入:已到达路由器接口的数据包。将被路由器处理。
如果对路由器的某接口应用了ACL,那么路由器对数据包应用该组规则进行顺序匹配,使用匹配即停止的,不匹配则使用默认规则的方式来过滤数据包
ALC的种类和配置
基本acl (2000-2999) :只能匹配源ip地址。
高级acl (3000-3999) :可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段层
二层ACL (4000-4999) :根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。
当ACL处理数据包时,一旦数据包与某条ACL语句匹配,则会跳过列表中剩余的其他语句,根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配,那么将依次使用ACL列表中的下一条语句测试数据包。该匹配过程会一直继续,直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配,通常会隐含拒绝一切数据包的指令。此时路由器不会让这些数据进入或送出接口,而是直接丢弃。最后这条语句通常称为隐式的“deny any”语句。由于该语句的存在,所以在ACL中应该至少包含一条permit语句,否则,默认情况下,ACL将阻止所有流量。
ALC的基本应用
一个接口的同一个方向,只能有一个ACL
一个ACL里可以有多个rule规则,按照规则ID从小到大的顺序,从上往下依次执行
数据包一旦被某个rule匹配,就不会再继续向下匹配
用来做数据包访问控制时,默认隐含放过所有(华为设备)
标签:语句,匹配,访问控制,ALC,ACL,列表,数据包,路由器 来源: https://blog.csdn.net/m0_55637617/article/details/115049316