访问控制列表 ACL
0x0 定义
-
用于数据流的匹配和筛选
-
ACL 不对数据包本身做任何操作
-
手动网络层隔离技术
0x1 常见功能
-
访问控制:ACL + Packet-filter
-
路由控制:ACL + Route-policy
-
流量控制:ACL + QoS
0x2 ACL 分类
基本 ACL
-
编号 2000-2999
-
只对数据包的源地址进行匹配
-
使用于大范围的批量控制
高级 ACL
-
编号 3000-3999
-
对数据包的五元组进行匹配(五元组:源目IP端口、协议)
-
适用于精确控制
二层 ACL
-
编号 4000-4999
-
基于数据链路层的访问控制列表(源目MAC、二层协议)
0x3 基于 ACL 的包过滤
定义
-
对进出的数据包逐包检查,丢弃或允许通过
-
包过滤必须配置在接口的某个方向上才能生效
-
一个接口的一个方向只能配置一个包过滤策略
包过滤的方向
-
入方向:只对从外部进入的数据包做过滤
-
出方向:只对从内部发出的数据包做过滤
包过滤的工作流程
0x4 常用命令
# 创建基本ACL,进入ACL视图
[h3c]acl basic 'acl-number'# 创建基本ACL规则,如不写rule-id,则系统自动从0开始以5的倍数增加序号
[h3c-acl-basic-2000]rule 'rule id' 'permit/deny' source 'ip address' 'wild-mask'# 创建高级ACL,进入ACL视图
[h3c]acl advanced 'acl-number'# 创建高级ACL规则
[h3c-acl-basic-3000]rule 'rule id' 'protocol' source 'ip address' 'wild-mask' source-port 'port' destination 'ip address' 'wild-mask' destination-port 'port'# 配置包过滤
[h3c-GigabitEthernet 0/0]packet-filter 'acl number' 'inbound/outbound'# 更改默认动作为拒绝
[h3c]packet-filter default deny
0x5 注意事项
-
H3C的ACL用于包过滤默认允许,用于其他默认拒绝;
-
如果默认动作是允许,至少需要一条拒绝规则;
-
如果默认动作是拒绝,至少需要一条允许规则;
-
把小范围的规则分配一个靠前的顺序;
-
在不影响实际效果前提下,把包过滤尽量配置在离源地址最近的接口的入方向。