網(wǎng)絡(luò)訪問(wèn)控制列表ACL 概述
訪問(wèn)控制列表(ACL)是路由器和交換機(jī)接口上的命令列表���,用于控制端口的傳入和傳出數(shù)據(jù)包�����。 配置ACL之后,您可以限制網(wǎng)絡(luò)流量���,允許特定設(shè)備訪問(wèn)�����,指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等等���。 信息點(diǎn)之間的通信以及內(nèi)部和外部網(wǎng)絡(luò)之間的通信是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)要求��。 為了確保內(nèi)部網(wǎng)絡(luò)的安全�����,需要采用安全策略�����,以確保未經(jīng)授權(quán)的用戶只能訪問(wèn)特定的網(wǎng)絡(luò)資源來(lái)達(dá)到控制目的��。 簡(jiǎn)而言之�����,ACL可以過(guò)濾網(wǎng)絡(luò)中的數(shù)據(jù)包�����,并且是一種控制訪問(wèn)的網(wǎng)絡(luò)技術(shù)手段��。
工作原理
單個(gè)端口用于指示哪個(gè)ACL由某個(gè)端口執(zhí)行��,需要根據(jù)列表中條件語(yǔ)句的執(zhí)行順序來(lái)判斷哪個(gè)ACL�����。 如果數(shù)據(jù)包的報(bào)頭與表中的條件判斷語(yǔ)句匹配���,則以下語(yǔ)句將被忽略,并且將不執(zhí)行進(jìn)一步的檢查��。
僅當(dāng)數(shù)據(jù)包與第一個(gè)判斷條件不匹配時(shí)�����,才將其移交給ACL中的下一個(gè)條件判斷語(yǔ)句以進(jìn)行比較��。 如果匹配(假設(shè)允許發(fā)送)�����,則無(wú)論以下語(yǔ)句如何�����,數(shù)據(jù)都將立即發(fā)送到目標(biāo)接口。 如果檢測(cè)到所有ACL判斷語(yǔ)句���,但仍然沒(méi)有匹配的語(yǔ)句退出��,則該數(shù)據(jù)包將被視為已拒絕并被丟棄��。
ACL 組設(shè)置
配置步驟
1. 在導(dǎo)航欄中選擇[高級(jí)配置/ ACL / ACL組設(shè)置]�����,進(jìn)入ACL組界面���。
2. 在[ACL組設(shè)置]界面中,可以看到添加的ACL組信息�����,如圖1所示��。
圖1 ACL組信息
3. 要添加ACL組�����,請(qǐng)單擊<添加>進(jìn)入[ACL組設(shè)置]界面��,如圖6.2所示。 在序列號(hào)列中為該組分配一個(gè)序列號(hào)(0-3999)��,并在組名稱列中為該組設(shè)置一個(gè)名稱���。 名稱不能重復(fù)���。 在“綁定到端口”列中�����,選擇要將組綁定到的端口���。 如果未綁定到端口���,則無(wú)法使用該組。 填寫相應(yīng)的配置項(xiàng)后���,單擊<應(yīng)用>完成配置��。
圖2 ACL組設(shè)置界面
4.如果需要修改ACL組配置��,請(qǐng)選擇一個(gè)ACL組��,然后單擊<Modify>進(jìn)入[ACL Group Settings]界面�����。 填寫所需的配置項(xiàng)�����,然后單擊<Apply>以完成配置���。
5.要?jiǎng)h除ACL組配置���,請(qǐng)選擇一個(gè)ACL組,然后單擊<Delete>刪除配置�����。
配置項(xiàng)目說(shuō)明
配置項(xiàng)目 | 解釋 |
序列號(hào) | ACL組索引�����,范圍<0-3999>��,分成4組匹配L2��,L3 / L4,源L2 / L3 / L4���,目的地L2 / L3 / L4�����,其中由每個(gè)匹配組所支持的匹配項(xiàng)目如下:
L2:源MAC���,目標(biāo)MAC���,以太網(wǎng)類型���,VLAN,IP協(xié)議���,范圍0-999���;
L3 / L4:VLAN,源IP��,目標(biāo)IP���,源IP端口�����,目標(biāo)IP端口��,IP協(xié)議�����,范圍1000-1999�����;
L2 / L3 / L4: 源MAC��,以太網(wǎng)類型�����,VLAN��,源IP��,源IP端口,IP協(xié)議��,范圍2000-2999��;
L2 / L3 / L4: 目標(biāo)MAC��,以太網(wǎng)類型�����,VLAN�����,目標(biāo)IP���,目標(biāo)IP端口,IP協(xié)議���,范圍3000-3999���; |
ACL 群組名稱 | ACL 名稱(字符串格式)必須為ASCII碼A-Z,a-z�����,0-9,_���,不得超過(guò)32個(gè)字符��,名稱不能重復(fù) |
綁定到端口 | 該ACL應(yīng)用于一個(gè)或多個(gè)端口��,該端口綁定的ACL將生效 |
表1 ACL組配置項(xiàng)說(shuō)明
ACL 規(guī)則
規(guī)則設(shè)置
配置步驟
1.在導(dǎo)航欄中選擇“高級(jí)配置/ ACL / ACL規(guī)則設(shè)置”���,進(jìn)入ACL規(guī)則視圖界面,如圖3所示��。
2. I在[ACL Rule Settings]界面中��,選擇時(shí)間間隔列��,第一個(gè)下拉列表選擇組間隔�����,第二個(gè)下拉列表選擇組間隔內(nèi)的特定組���。 接下來(lái)的兩行顯示所選的組名和該組綁定到的端口���。 該表顯示了已為此組配置的ACL規(guī)則�����。 單擊過(guò)濾器規(guī)則欄中的圖標(biāo)以展開以查看過(guò)濾器規(guī)則的特定內(nèi)容��。 展開后圖標(biāo)更改�����,改變�����。
圖 3 ACL規(guī)則視圖界面
3.如需添加 ACL 規(guī)則�����,單擊<添加>�����,進(jìn)入[ACL 規(guī)則設(shè)置]界面。其中過(guò)濾規(guī)則一項(xiàng)���, 可以通過(guò)下拉列表選擇不同的過(guò)濾項(xiàng)�����,然后會(huì)自動(dòng)出現(xiàn)相應(yīng)的過(guò)濾項(xiàng)供用戶填寫�����。也可以通過(guò)右側(cè)的<刪除>按鈕��,刪除相應(yīng)的過(guò)濾項(xiàng)�����。相應(yīng)的配置項(xiàng)填寫完畢后�����,單擊<應(yīng)用>�����,完成配置���。
圖 4 ACL 規(guī)則設(shè)置界面
4.如需修改 ACL 規(guī)則��,勾選某條 ACL 后單擊<修改>���,進(jìn)入[ACL 規(guī)則設(shè)置]界面��。填寫應(yīng)的配置項(xiàng)��,單擊<應(yīng)用>���,完成配置。
5.如需刪除 ACL 規(guī)則��,勾選某條 ACL 后單擊<刪除>���,刪除配置�����。
配置項(xiàng)說(shuō)明
| 配置項(xiàng) | 說(shuō)明 |
| 序號(hào) | ACL規(guī)則索引�����, |
| 動(dòng)作 | 當(dāng)報(bào)文符合過(guò)濾規(guī)則的時(shí)候���,采取的動(dòng)作,包括
允許
丟棄
重定向到指定端口 |
| 過(guò)濾規(guī)則 | ACL的過(guò)濾規(guī)則��,包括:
源MAC���,支持掩碼
目的MAC�����,支持掩碼
源IP地址�����,支持掩碼
目的IP地址��,支持掩碼
源IP端口
目的IP端口
IP協(xié)議
以太網(wǎng)類型�����,支持掩碼
VLAN
支持掩碼的過(guò)濾項(xiàng)���,可以通過(guò)設(shè)置掩碼,該過(guò)濾項(xiàng)可以實(shí)現(xiàn)按某個(gè)范圍進(jìn)行過(guò)濾��。 |
表 6.1 ACL 規(guī)則項(xiàng)說(shuō)明
| 配置項(xiàng) | 說(shuō)明 |
| 源MAC | 源MAC地址��,格式xxxxxx-xxxxxx,支持掩碼���,默認(rèn)掩碼ffffff-ffffff |
| 目的MAC | 目的MAC地址�����,格式xxxxxx-xxxxxx�����,支持掩碼�����,默認(rèn)掩碼ffffff-ffffff |
| 源IP地址 | 源IP地址�����,格式點(diǎn)分十進(jìn)制�����,支持掩碼���,默認(rèn)掩碼255.255.255.255 |
| 目的IP地址 | 目的IP地址��,格式點(diǎn)分十進(jìn)制���,支持掩碼��,默認(rèn)掩碼255.255.255.255 |
| 源IP端口 | IP報(bào)文中源端口�����,整數(shù)形式���,范圍1~65535 |
| 目的IP端口 | IP報(bào)文中目的端口��,整數(shù)形式��,范圍1~65535 |
| IP協(xié)議 | IP報(bào)文中的協(xié)議�����,目前僅支持TCP��,UDP���,ICMP��,IGMP |
表 6.2 匹配項(xiàng)說(shuō)明
注:匹配掩碼為 1 時(shí)�����,則匹配��,為 0 時(shí)則不匹配��。
