網(wǎng)絡(luò)訪問控制列表ACL 概述
訪問控制列表(ACL)是路由器和交換機接口上的命令列表�����,用于控制端口的傳入和傳出數(shù)據(jù)包。 配置ACL之后,您可以限制網(wǎng)絡(luò)流量�����,允許特定設(shè)備訪問�����,指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等等����。 信息點之間的通信以及內(nèi)部和外部網(wǎng)絡(luò)之間的通信是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)要求。 為了確保內(nèi)部網(wǎng)絡(luò)的安全����,需要采用安全策略����,以確保未經(jīng)授權(quán)的用戶只能訪問特定的網(wǎng)絡(luò)資源來達到控制目的�����。 簡而言之����,ACL可以過濾網(wǎng)絡(luò)中的數(shù)據(jù)包��,并且是一種控制訪問的網(wǎng)絡(luò)技術(shù)手段���。
工作原理
單個端口用于指示哪個ACL由某個端口執(zhí)行�����,需要根據(jù)列表中條件語句的執(zhí)行順序來判斷哪個ACL。 如果數(shù)據(jù)包的報頭與表中的條件判斷語句匹配,則以下語句將被忽略,并且將不執(zhí)行進一步的檢查。
僅當數(shù)據(jù)包與第一個判斷條件不匹配時�,才將其移交給ACL中的下一個條件判斷語句以進行比較��。 如果匹配(假設(shè)允許發(fā)送)��,則無論以下語句如何����,數(shù)據(jù)都將立即發(fā)送到目標接口。 如果檢測到所有ACL判斷語句���,但仍然沒有匹配的語句退出���,則該數(shù)據(jù)包將被視為已拒絕并被丟棄。
ACL 組設(shè)置
配置步驟
1. 在導(dǎo)航欄中選擇[高級配置/ ACL / ACL組設(shè)置]�,進入ACL組界面。
2. 在[ACL組設(shè)置]界面中����,可以看到添加的ACL組信息���,如圖1所示。
圖1 ACL組信息
3. 要添加ACL組,請單擊<添加>進入[ACL組設(shè)置]界面�����,如圖6.2所示。 在序列號列中為該組分配一個序列號(0-3999)�����,并在組名稱列中為該組設(shè)置一個名稱��。 名稱不能重復(fù)。 在“綁定到端口”列中�,選擇要將組綁定到的端口。 如果未綁定到端口����,則無法使用該組���。 填寫相應(yīng)的配置項后�����,單擊<應(yīng)用>完成配置。
圖2 ACL組設(shè)置界面
4.如果需要修改ACL組配置����,請選擇一個ACL組,然后單擊<Modify>進入[ACL Group Settings]界面����。 填寫所需的配置項,然后單擊<Apply>以完成配置��。
5.要刪除ACL組配置���,請選擇一個ACL組,然后單擊<Delete>刪除配置。
配置項目說明
配置項目 | 解釋 |
序列號 | ACL組索引����,范圍<0-3999>�,分成4組匹配L2����,L3 / L4,源L2 / L3 / L4�,目的地L2 / L3 / L4�����,其中由每個匹配組所支持的匹配項目如下:
L2:源MAC����,目標MAC,以太網(wǎng)類型����,VLAN,IP協(xié)議��,范圍0-999;
L3 / L4:VLAN�,源IP��,目標IP���,源IP端口����,目標IP端口�,IP協(xié)議���,范圍1000-1999�����;
L2 / L3 / L4: 源MAC�,以太網(wǎng)類型,VLAN,源IP���,源IP端口�����,IP協(xié)議�����,范圍2000-2999�����;
L2 / L3 / L4: 目標MAC����,以太網(wǎng)類型,VLAN����,目標IP,目標IP端口����,IP協(xié)議�����,范圍3000-3999�����; |
ACL 群組名稱 | ACL 名稱(字符串格式)必須為ASCII碼A-Z�,a-z,0-9����,_,不得超過32個字符�,名稱不能重復(fù) |
綁定到端口 | 該ACL應(yīng)用于一個或多個端口,該端口綁定的ACL將生效 |
表1 ACL組配置項說明
ACL 規(guī)則
規(guī)則設(shè)置
配置步驟
1.在導(dǎo)航欄中選擇“高級配置/ ACL / ACL規(guī)則設(shè)置”,進入ACL規(guī)則視圖界面,如圖3所示�。
2. I在[ACL Rule Settings]界面中���,選擇時間間隔列,第一個下拉列表選擇組間隔����,第二個下拉列表選擇組間隔內(nèi)的特定組���。 接下來的兩行顯示所選的組名和該組綁定到的端口。 該表顯示了已為此組配置的ACL規(guī)則��。 單擊過濾器規(guī)則欄中的圖標以展開以查看過濾器規(guī)則的特定內(nèi)容�����。 展開后圖標更改�,改變��。
圖 3 ACL規(guī)則視圖界面
3.如需添加 ACL 規(guī)則��,單擊<添加>���,進入[ACL 規(guī)則設(shè)置]界面��。其中過濾規(guī)則一項���, 可以通過下拉列表選擇不同的過濾項,然后會自動出現(xiàn)相應(yīng)的過濾項供用戶填寫����。也可以通過右側(cè)的<刪除>按鈕�,刪除相應(yīng)的過濾項�。相應(yīng)的配置項填寫完畢后,單擊<應(yīng)用>����,完成配置。
圖 4 ACL 規(guī)則設(shè)置界面
4.如需修改 ACL 規(guī)則��,勾選某條 ACL 后單擊<修改>���,進入[ACL 規(guī)則設(shè)置]界面����。填寫應(yīng)的配置項�����,單擊<應(yīng)用>����,完成配置。
5.如需刪除 ACL 規(guī)則�����,勾選某條 ACL 后單擊<刪除>,刪除配置���。
配置項說明
| 配置項 | 說明 |
| 序號 | ACL規(guī)則索引����, |
| 動作 | 當報文符合過濾規(guī)則的時候�����,采取的動作�,包括
允許
丟棄
重定向到指定端口 |
| 過濾規(guī)則 | ACL的過濾規(guī)則,包括:
源MAC��,支持掩碼
目的MAC����,支持掩碼
源IP地址���,支持掩碼
目的IP地址����,支持掩碼
源IP端口
目的IP端口
IP協(xié)議
以太網(wǎng)類型,支持掩碼
VLAN
支持掩碼的過濾項����,可以通過設(shè)置掩碼,該過濾項可以實現(xiàn)按某個范圍進行過濾�����。 |
表 6.1 ACL 規(guī)則項說明
| 配置項 | 說明 |
| 源MAC | 源MAC地址�,格式xxxxxx-xxxxxx,支持掩碼����,默認掩碼ffffff-ffffff |
| 目的MAC | 目的MAC地址,格式xxxxxx-xxxxxx��,支持掩碼��,默認掩碼ffffff-ffffff |
| 源IP地址 | 源IP地址����,格式點分十進制,支持掩碼����,默認掩碼255.255.255.255 |
| 目的IP地址 | 目的IP地址��,格式點分十進制����,支持掩碼��,默認掩碼255.255.255.255 |
| 源IP端口 | IP報文中源端口��,整數(shù)形式����,范圍1~65535 |
| 目的IP端口 | IP報文中目的端口,整數(shù)形式���,范圍1~65535 |
| IP協(xié)議 | IP報文中的協(xié)議��,目前僅支持TCP����,UDP�����,ICMP���,IGMP |
表 6.2 匹配項說明
注:匹配掩碼為 1 時���,則匹配,為 0 時則不匹配�����。
