訪問控制列表-細(xì)說ACL那些事兒

1、1 訪問控制列表-細(xì)說ACL那些事兒（初步認(rèn)識ACL）傳聞江湖亂世之時，出現(xiàn)了一門奇招妙計名曰“ACL”。其變化多端、高深莫測，部署在江湖各處的交換機(jī)輕松使上這一招，便能平定亂世江湖。所以，這ACL也被江湖人士一時傳為佳話。ACL到底是何方秘籍？它擁有什么樣的魔力能夠平定江湖？今日，且讓小編來為大家答疑解惑！ACL，是Access Control List的簡稱，中文名稱叫“訪問控制列表”，它由一系列規(guī)則（即描述報文匹配條件的判斷語句）組成。這些條件，可以是報文的源地址、目的地址、端口號等。這樣解釋ACL，大家是不是覺得太抽象了！好，現(xiàn)在小編換一種解釋方式。打個比方，ACL其實是一種報文過濾器

2、，ACL規(guī)則就是過濾器的濾芯。安裝什么樣的濾芯（即根據(jù)報文特征配置相應(yīng)的ACL規(guī)則），ACL就能過濾出什么樣的報文了。基于過濾出的報文，我們能夠做到阻塞攻擊報文、為不同類報文流提供差分服務(wù)、對Telnet登錄/FTP文件下載進(jìn)行控制等等，從而提高網(wǎng)絡(luò)環(huán)境的安全性和網(wǎng)絡(luò)傳輸?shù)目煽啃?。說到這，大家一定迫不及待的想看看ACL長啥模樣。話不多說，先上圖！圍繞這張ACL結(jié)構(gòu)圖，小編為大家一一介紹ACL的基本概念。1.1 ACL分類首先，圖中是一個數(shù)字型ACL，ACL編號為2000。這類似于人類的身份證號，用于唯一標(biāo)識自己的身份。當(dāng)然，人類的身份證上不僅有身份證編號，還有每個人自己的名字。ACL也同樣如此

3、，除了數(shù)字型ACL，還有一種叫做命名型的ACL，它就能擁有自己的ACL名稱。通過名稱代替編號來定義ACL，就像用域名代替IP地址一樣，可以方便記憶，也讓大家更容易識別此ACL的使用目的。另外，小編告訴大家，命名型ACL實際上是“名字+數(shù)字”的形式，可以在定義命名型ACL時同時指定ACL編號。如果不指定編號，則由系統(tǒng)自動分配。上圖就是一個既有名字“deny-telnet-login”又有編號 “3998”的ACL。細(xì)心的你，一定會注意到，ACL結(jié)構(gòu)圖中的ACL編號是“2000”，而這個例子中的ACL編號是“3998”，兩者有什么區(qū)別嗎？實際上，按照ACL規(guī)則功能的不同，ACL被劃分為基本ACL、

4、高級ACL、二層ACL、用戶自定義ACL和用戶ACL這五種類型。每種類型ACL對應(yīng)的編號范圍是不同的。ACL 2000屬于基本ACL，ACL 3998屬于高級ACL。高級ACL可以定義比基本ACL更準(zhǔn)確、更豐富、更靈活的規(guī)則，所以高級ACL的功能更加強(qiáng)大。ACL類別規(guī)則定義描述編號范圍基本ACL僅使用報文的源IP地址、分片標(biāo)記和時間段信息來定義規(guī)則。20002999高級ACL既可使用報文的源IP地址，也可使用目的地址、IP優(yōu)先級、ToS、DSCP、IP協(xié)議類型、ICMP類型、TCP源端口/目的端口、UDP源端口/目的端口號等來定義規(guī)則。30003999二層ACL可根據(jù)報文的以太網(wǎng)幀頭信息來定義

5、規(guī)則，如根據(jù)源MAC地址、目的MAC地址、以太幀協(xié)議類型等。40004999用戶自定義ACL可根據(jù)報文偏移位置和偏移量來定義規(guī)則。50005999用戶ACL既可使用IPv4報文的源IP地址或源UCL（User Control List）組，也可使用目的地址或目的UCL組、IP協(xié)議類型、ICMP類型、TCP源端口/目的端口、UDP源端口/目的端口號等來定義規(guī)則。600099991.2 ACL規(guī)則接下來，我們來看看圖中ACL的 “deny | permit”語句。這些條件語句，我們稱作ACL規(guī)則（rule）。其中的“deny | permit”，稱作ACL動作，表示拒絕/允許。每條規(guī)則都擁有自己的

6、規(guī)則編號，如5、10、。這些編號，可以自行配置，也可以由系統(tǒng)自動分配。那么系統(tǒng)是怎樣自動分配規(guī)則編號的？小編先賣個關(guān)子，請繼續(xù)關(guān)注下文。ACL規(guī)則的編號范圍是0，所有規(guī)則均按照規(guī)則編號從小到大進(jìn)行排序。所以，上圖中我們可以看到rule 5排在首位，而規(guī)則編號最大的rule 排在末位。系統(tǒng)按照規(guī)則編號從小到大的順序，將規(guī)則依次與報文匹配，一旦匹配上一條規(guī)則即停止匹配。關(guān)于ACL的匹配機(jī)制，在后續(xù)連載系列中，小編還將為大家作更深入的介紹。除了包含ACL動作和規(guī)則編號，我們可以看到ACL規(guī)則中還定義了源地址、生效時間段這樣的字段。這些字段，稱作匹配選項，它是ACL規(guī)則的重要組成部分。其實，ACL提供

7、了極其豐富的匹配選項。你可以選擇二層以太網(wǎng)幀頭信息（如源MAC、目的MAC、以太幀協(xié)議類型）作為匹配選項，也可以選擇三層報文信息（如源地址、目的地址、協(xié)議類型）作為匹配選項，還可以選擇四層報文信息（如TCP/UDP端口號）等等等等。你只需分析清楚需要過濾的報文的特征，便可以指定使用哪一種ACL匹配選項，從而讓ACL能正確的識別需過濾的報文。關(guān)于ACL匹配選項的配置方法，在后續(xù)連載系列中，小編還將為大家詳細(xì)的介紹。1.3 步長最后，小編來為大家介紹ACL中一個非常重要的概念步長。了解了這個知識點，上文中遺留的問題“系統(tǒng)怎樣自動分配規(guī)則編號”便迎刃而解了。步長，是指系統(tǒng)自動為ACL規(guī)則分配編號時，

8、每個相鄰規(guī)則編號之間的差值。也就是說，系統(tǒng)是根據(jù)步長值自動為ACL規(guī)則分配編號的。圖中的ACL 2000，步長就是5。系統(tǒng)按照5、10、15這樣的規(guī)律為ACL規(guī)則分配編號。如果將步長調(diào)整為了2，那么規(guī)則編號會自動從步長值開始重新排列，變成2、4、6。有圖為證 小編支招：ACL的缺省步長值是5。通過display acl acl-number命令，可以查看ACL規(guī)則、步長等配置信息。通過step step命令，可以修改ACL步長值。說到這，小伙伴們是不是好奇了，設(shè)置ACL步長有什么作用呢？ 實際上，設(shè)置步長的目的，是為了方便大家在ACL規(guī)則之間插入新的規(guī)則。先來看個例子。假設(shè)，一條ACL中，已包

9、含了下面三條規(guī)則5、10、15。如果你希望源IP地址為的報文也被禁止通過，該如何處理呢？rule 5 deny source 0 /表示禁止源IP地址為的報文通過 rule 10 deny source 0 /表示禁止源IP地址為的報文通過 rule 15 permit source 55 /表示允許源IP地址為網(wǎng)段的報文通過我們來分析一下。由于ACL匹配報文時遵循“一旦命中即停止匹配”的原則，所以源IP地址為和的報文，會在匹配上編號較小的rule

10、5和rule 10后停止匹配，從而被系統(tǒng)禁止通過；而源IP地址為的報文，則只會命中rule 15，從而得到系統(tǒng)允許通過。要想讓源IP地址為的報文也被禁止通過，我們必須為該報文配置一條新的deny規(guī)則。rule 5 deny source 0 /表示禁止源IP地址為的報文通過 rule 10 deny source 0 /表示禁止源IP地址為的報文通過 rule 11 deny source 0 /表示禁止源IP地址為的報文通過 rule 15 permit source 1.1

11、.1.0 55 /表示允許源IP地址為網(wǎng)段的報文通過在rule 10和rule 15之間插入rule 11后，源IP地址為的報文，就可以先命中rule 11而停止繼續(xù)往下匹配，所以該報文將會被系統(tǒng)禁止通過。試想一下，如果這條ACL規(guī)則之間間隔不是5，而是1（rule 1、rule 2、rule 3），這時再想插入新的規(guī)則，該怎么辦呢？只能先刪除已有的規(guī)則，然后再配置新規(guī)則，最后將之前刪除的規(guī)則重新配置回來。如果這樣做，那付出的代價可真是太大了！ 所以，通過設(shè)置ACL步長，為規(guī)則之間留下一定的空間，后續(xù)再想插入新的規(guī)則，就非常輕松了。好啦，以上就是小編為

12、大家介紹的ACL基礎(chǔ)理論知識?；仡櫼幌氯?，知識點主要包括：ACL是什么、有什么作用、分哪幾類、規(guī)則是如何定義的、步長的含義以及步長的作用。小伙伴們，你們都已經(jīng)掌握了嗎？在下一篇連載系列中，小編還將為大家講解更深層次的ACL知識ACL的匹配機(jī)制、規(guī)則的匹配順序、規(guī)則的匹配選項等等?？傊蔬€在后頭，我們后會有期！2 訪問控制列表-細(xì)說ACL那些事兒（ACL匹配篇）Hi，小伙伴們，小編又來報道啦！在上一期中，小編圍繞一張ACL結(jié)構(gòu)圖展開介紹，讓大家了解了ACL的概念、作用和分類，并且知道了ACL是通過規(guī)則匹配來實現(xiàn)報文過濾的。但ACL到底是如何進(jìn)行規(guī)則匹配的，相信aa大家還是一頭霧水。本期，小

13、編就將帶領(lǐng)大家深入ACL內(nèi)部，說一說關(guān)于“ACL匹配”的那些事兒。2.1 ACL匹配機(jī)制首先，小編為大家介紹ACL匹配機(jī)制。上一期提到，ACL在匹配報文時遵循“一旦命中即停止匹配”的原則。其實，這句話就是對ACL匹配機(jī)制的一個高度的概括。當(dāng)然，ACL匹配過程中，還存在很多細(xì)節(jié)。比如，ACL不存在系統(tǒng)會怎么處理？ACL存在但規(guī)則不存在系統(tǒng)會怎么處理？為了對整個ACL匹配過程展開詳細(xì)的介紹，小編畫了一張ACL匹配流程圖，相信對大家理解ACL匹配機(jī)制能有所幫助。從整個ACL匹配流程可以看出，報文與ACL規(guī)則匹配后，會產(chǎn)生兩種匹配結(jié)果：“匹配”和“不匹配”。l 匹配（命中規(guī)則）：指存在ACL，且在AC

14、L中查找到了符合匹配條件的規(guī)則。不論匹配的動作是“permit”還是“deny”，都稱為“匹配”，而不是只是匹配上permit規(guī)則才算“匹配”。l 不匹配（未命中規(guī)則）：指不存在ACL，或ACL中無規(guī)則，再或者在ACL中遍歷了所有規(guī)則都沒有找到符合匹配條件的規(guī)則。切記以上三種情況，都叫做“不匹配”。小編提醒大家，無論報文匹配ACL的結(jié)果是“不匹配”、“允許”還是“拒絕”，該報文最終是被允許通過還是拒絕通過，實際是由應(yīng)用ACL的各個業(yè)務(wù)模塊來決定的。不同的業(yè)務(wù)模塊，對命中和未命中規(guī)則報文的處理方式也各不相同。例如，在Telnet模塊中應(yīng)用ACL，只要報文命中了permit規(guī)則，就允許通過；而在流

15、策略中應(yīng)用ACL，如果報文命中了permit規(guī)則，但流行為動作配置的是deny，該報文會被拒絕通過。在后續(xù)連載的訪問控制列表-細(xì)說ACL那些事兒（應(yīng)用篇）中，小編將結(jié)合各類ACL應(yīng)用，為大家細(xì)說各個業(yè)務(wù)模塊的區(qū)別。2.2 ACL規(guī)則匹配順序從上面的ACL匹配報文流程圖中，可以看到，只要報文未命中規(guī)則且仍剩余規(guī)則，系統(tǒng)會一直從剩余規(guī)則中選擇下一條與報文進(jìn)行匹配。系統(tǒng)是根據(jù)什么樣的順序來選擇規(guī)則進(jìn)行報文匹配的呢？回答這個問題之前，先來看個例子。假設(shè)我們先后執(zhí)行了以下兩條命令進(jìn)行配置：rule deny ip destination 55 /表示拒絕目的IP地址為1

16、.1.0.0網(wǎng)段的報文通過rule permit ip destination 55 /表示允許目的IP地址為網(wǎng)段的報文通過，該網(wǎng)段地址范圍小于網(wǎng)段范圍這條permit規(guī)則與deny規(guī)則是相互矛盾的。對于目的IP=的報文，如果系統(tǒng)先將deny規(guī)則與其匹配，則該報文會被禁止通過。相反，如果系統(tǒng)先將permit規(guī)則與其匹配，則該報文會得到允許通過。因此，對于規(guī)則之間存在重復(fù)或矛盾的情形，報文的匹配結(jié)果與ACL規(guī)則匹配順序是息息相關(guān)的。下面，小編就為大家介紹ACL定義的兩種規(guī)則匹配順序：配置順序（config）和自動排序（aut

17、o）。配置順序，即系統(tǒng)按照ACL規(guī)則編號從小到大的順序進(jìn)行報文匹配，規(guī)則編號越小越容易被匹配。后插入的規(guī)則，如果你指定的規(guī)則編號更小，那么這條規(guī)則可能會被先匹配上。小編提醒，ACL規(guī)則的生效前提，是要在業(yè)務(wù)模塊中應(yīng)用ACL。當(dāng)ACL被業(yè)務(wù)模塊引用時，你可以隨時修改ACL規(guī)則，但規(guī)則修改后是否立即生效與具體的業(yè)務(wù)模塊相關(guān)。關(guān)于ACL的應(yīng)用，在后續(xù)連載的應(yīng)用篇中，小編還將為大家詳細(xì)介紹。自動排序，是指系統(tǒng)使用“深度優(yōu)先”的原則，將規(guī)則按照精確度從高到底進(jìn)行排序，系統(tǒng)按照精確度從高到低的順序進(jìn)行報文匹配。規(guī)則中定義的匹配項限制越嚴(yán)格，規(guī)則的精確度就越高，即優(yōu)先級越高，那么該規(guī)則的編號就越小，系統(tǒng)越先

18、匹配。例如，有一條規(guī)則的目的IP地址匹配項是一臺主機(jī)地址/32，而另一條規(guī)則的目的IP地址匹配項是一個網(wǎng)段/24，前一條規(guī)則指定的地址范圍更小，所以其精確度更高，系統(tǒng)會優(yōu)先將報文與前一條規(guī)則進(jìn)行匹配。小編提醒，在自動排序的ACL中配置規(guī)則，不允許自行指定規(guī)則編號。系統(tǒng)能自動識別出該規(guī)則在這條ACL中對應(yīng)的優(yōu)先級，并為其分配一個適當(dāng)?shù)囊?guī)則編號。例如，在auto模式的acl 3001中，存在以下兩條規(guī)則。如果在acl 3001中插入rule deny ip destination 0（目的IP地址是主機(jī)地址，優(yōu)先級高于上圖中的兩條規(guī)則），系統(tǒng)將按照規(guī)則的

19、優(yōu)先級關(guān)系，重新為各規(guī)則分配編號。插入新規(guī)則后，新的排序如下?？梢钥吹剑瑀ule deny ip destination 0的優(yōu)先級最高，排列最靠前。2.3 ACL規(guī)則匹配項最后，我們來說說ACL規(guī)則最核心的部分規(guī)則匹配項。在上一期中，小編在介紹ACL分類時，就已經(jīng)提到各類ACL的規(guī)則定義描述。比如，基本ACL可以使用報文的源IP地址作為匹配選項；高級ACL則更高一籌，不僅可以使用源IP地址，還能使用目的IP地址、協(xié)議類型、端口號等等。今天小編為大家講解幾個最常用的匹配選項協(xié)議類型、目的地址和生效時間段。PS:源地址的使用方法與目的地址同理，小編不再贅述。l 協(xié)議類型 格式為：

20、protocol-number | icmp | tcp | udp | gre | igmp | ip | ipinip | ospf高級ACL支持過濾的報文類型很多，常用的協(xié)議類型包括： ICMP（協(xié)議號1）、TCP（協(xié)議號6）、UDP（協(xié)議號17）、GRE（協(xié)議號47）、IGMP（協(xié)議號2）、IP（指任何IP層協(xié)議）、IPinIP（協(xié)議號4）、OSPF（協(xié)議號89）。protocol-number取值可以是1255。什么情況下可以使用協(xié)議類型作為匹配項？例如，交換機(jī)某個接口下的用戶存在大量的攻擊者，你希望能夠禁止這個接口下的所有用戶接入網(wǎng)絡(luò)。這時，通過指定協(xié)議類型為IP來屏蔽這些用戶的I

21、P流量，就可以達(dá)到目的。配置如下：rule deny ip /表示拒絕IP報文通過再如，交換機(jī)上打開透明防火墻功能后，在缺省情況下，透明防火墻會在域間丟棄所有入域間的報文，包括業(yè)務(wù)報文和協(xié)議報文。如果你希望像OSPF這樣的動態(tài)路由協(xié)議報文能正常通過防火墻，保證路由互通，這時，通過指定協(xié)議類型為OSPF即可解決問題。配置如下：rule permit ospf /表示允許OSPF報文通過l 目的地址格式為：destination destination-address destination-wildcard | any destination-address：指定報文的目的地址。 destina

22、tion-wildcard：指定通配符掩碼?？梢詾?，相當(dāng)于，表示目的地址為主機(jī)地址。 any：表示對任意目的地址都匹配。什么情況下可以使用目的地址作為匹配項？例如，某公司有一臺非常重要的服務(wù)器，其IP地址為，現(xiàn)希望對該服務(wù)器的訪問權(quán)限進(jìn)行限制。這時，你可以通過指定目的地址為匹配選項來解決該問題。配置如下：rule deny ip destination 0 /表示拒絕目的地址是的報文通過小編提醒：在將目的地址定義為ACL規(guī)則匹配項時，還需要同時指定通配符掩碼，用來與目的地址字段共同確定一個地址范圍。通配符掩碼的格式與IP地址相同，也是

23、一個32比特位的數(shù)字字符串，用于指示目的IP地址中的哪些位將被檢查。各比特位中，0表示“檢查相應(yīng)的位”，1表示“不檢查相應(yīng)的位”，概括為一句話就是“檢查0，忽略1”。 如圖所示，以8比特為例，通配符的低8位如果為全0，就表示對目的IP地址的低8位全部進(jìn)行檢查；全1就表示全部忽略。有多少位為0，就表示檢查多少位；有多少位為1，就表示忽略多少位。為了進(jìn)一步加深對通配符掩碼的理解，小編特出一道考題來考考大家：destination-address = destination -wildcard = 55 ，表示什么范圍的地址？1. 首先，分析該目的地址和通配符掩

24、碼共同確定的地址范圍的高兩個字節(jié)。目的地址高兩個字節(jié)是“172.30”，通配符掩碼的高兩個字節(jié)是“0.0”，按照“檢查0”原則，該目的地址和通配符掩碼確定的地址的高兩個字節(jié)必然是“172.30”。2. 然后，再分析第三個字節(jié)。通配符掩碼的第三個字節(jié)是15，轉(zhuǎn)換為二進(jìn)制比特是。根據(jù)“檢查0，忽略1”原則，小編將分析過程畫圖如下。3. 由于通配符掩碼的高4位是0000、后四位是1111，所以得出該目的地址和通配符掩碼確定的地址的第三個字節(jié)，是這樣一個地址范圍，轉(zhuǎn)化成十進(jìn)制是1631。同理，目的地址的最后一個字節(jié)是0，通配符掩碼的最后一個字節(jié)是255（轉(zhuǎn)換成二進(jìn)制比特是全1），按照“忽略1”原則，該

25、目的地址和通配符掩碼確定的地址的第四個字節(jié)也是一個地址范圍，轉(zhuǎn)化成十進(jìn)制是0255?；谝陨戏治?，我們得到最終結(jié)果是：destination-address = destination-wildcard = 55共同確定的地址范圍為/24/24，最小的IP地址是，最大的IP地址是55。小伙伴們，你們答對了嗎？l 生效時間段 time-range 第一種模式相對時間段：以星期為參數(shù)來定義時間范圍。格式為：time-range time-name start-time to

26、 end-time days & time-name：時間段名稱，以英文字母開頭的字符串。 start-time to end-time：開始時間和結(jié)束時間。格式為小時:分鐘 to 小時:分鐘。 days：有多種表達(dá)方式：o Mon、Tue、Wed、Thu、Fri、Sat、Sun中的一個或者幾個的組合，也可以用數(shù)字表達(dá)，0表示星期日，1表示星期一，6表示星期六。 o working-day：從星期一到星期五，五天。 o daily：包括一周七天。 o off-day：包括星期六和星期日，兩天。 第二種模式絕對時間段：從某年某月某日的某一時間開始，到某年某月某日的某一時間結(jié)束。格式為：time-

27、range time-name from time1 date1 to time2 date2 time：格式為 小時:分鐘。 date：格式為YYYY/MM/DD,表示年/月/日。 什么情況下可以使用生效時間段作為匹配項？例如，每天20:0022:00為網(wǎng)絡(luò)流量的高峰期，大量P2P、下載類業(yè)務(wù)的使用影響了其他數(shù)據(jù)業(yè)務(wù)的正常使用，此時通過設(shè)置在這個時間段內(nèi)降低P2P、下載類業(yè)務(wù)的帶寬，可以防止網(wǎng)絡(luò)擁塞。配置如下：time-range time1 20:00 to 22:00 daily再舉一例，某公司對外開放服務(wù)器的訪問權(quán)限，但開放時間限制為：從2014年1月1日零點開始生效，到2014年12

28、月31日晚上23:59截止。此時通過設(shè)置在這個時間段內(nèi)訪問服務(wù)器的報文才允許通過，就可以達(dá)到基于時間的訪問權(quán)限控制的效果。配置如下：time-range time2 from 00:00 2014/1/1 to 23:59 2014/12/31最后，小遍提醒大家，配置完時間段，千萬別忘記要將時間段與ACL規(guī)則關(guān)聯(lián)起來，這樣才是一條基于時間的ACL的完整配置過程。配置如下：acl acl-numberrule rule-id deny | permit other-options time-range time-name好啦，說完ACL規(guī)則的匹配項，本文也要接近尾聲了。回顧全文，小編圍繞ACL匹

29、配機(jī)制、ACL匹配順序和ACL匹配項展開了介紹，讓大家了解了ACL匹配報文的整個流程，知道了ACL存在哪些匹配結(jié)果、ACL按照什么樣的順序進(jìn)行規(guī)則匹配，并且掌握了最常用的ACL規(guī)則匹配項的使用方法?，F(xiàn)在大家對ACL的認(rèn)識，是不是又進(jìn)一步加深了呢？ 在下一期連載系列中，小編將為大家?guī)鞟CL的應(yīng)用篇，讓大家了解ACL可以應(yīng)用的范圍，并將帶領(lǐng)大家一起動手配置真實的ACL應(yīng)用案例。敬請期待喲！附ACL系列技術(shù)貼：名稱簡介【交換機(jī)在江湖之初窺門徑】訪問控制列表-細(xì)說ACL那些事兒（初步認(rèn)識ACL）圍繞一張ACL結(jié)構(gòu)圖，介紹ACL最基本的概念，包括ACL的定義、作用、分類、ACL規(guī)則、步長的定義和作用。

30、3 訪問控制列表-細(xì)說ACL那些事兒（ACL應(yīng)用篇）鐺鐺鐺鐺鐺，小伙伴們，小編又跟大家見面了！今天小編繼續(xù)給大家說說ACL那些事兒，但不再是說ACL的基本概念，也不再說抽象的ACL理論。這一期，小編將給大家呈現(xiàn)豐富多彩的ACL應(yīng)用，為大家講解各個業(yè)務(wù)模塊應(yīng)用ACL時的處理機(jī)制差異、應(yīng)用方式差異，并且?guī)ьI(lǐng)大家一起動手配置真實的ACL應(yīng)用案例。3.1 ACL應(yīng)用范圍通過前兩期的ACL理論學(xué)習(xí)，大家知道ACL并不能單獨完成控制網(wǎng)絡(luò)訪問行為或者限制網(wǎng)絡(luò)流量的效果，而是需要應(yīng)用到具體的業(yè)務(wù)模塊才能實現(xiàn)上述功能。那么ACL到底可以應(yīng)用在哪些業(yè)務(wù)中呢？小編總結(jié)了一下，ACL應(yīng)用的業(yè)務(wù)模塊非常多，但主要分為以

31、下四類：業(yè)務(wù)分類應(yīng)用場景涉及業(yè)務(wù)模塊登錄控制對交換機(jī)的登錄權(quán)限進(jìn)行控制，允許合法用戶登錄，拒絕非法用戶登錄，從而有效防止未經(jīng)授權(quán)用戶的非法接入，保證網(wǎng)絡(luò)安全性。例如，一般情況下交換機(jī)只允許管理員登錄，非管理員用戶不允許隨意登錄。這時就可以在Telnet中應(yīng)用ACL，并在ACL中定義哪些主機(jī)可以登錄，哪些主機(jī)不能。Telnet、SNMP、FTP、TFTP、SFTP、HTTP對轉(zhuǎn)發(fā)的報文進(jìn)行過濾對轉(zhuǎn)發(fā)的報文進(jìn)行過濾，從而使交換機(jī)能夠進(jìn)一步對過濾出的報文進(jìn)行丟棄、修改優(yōu)先級、重定向、IPSEC保護(hù)等處理。例如，可以利用ACL，降低P2P下載、網(wǎng)絡(luò)視頻等消耗大量帶寬的數(shù)據(jù)流的服務(wù)等級，在網(wǎng)絡(luò)擁塞時優(yōu)先

32、丟棄這類流量，減少它們對其他重要流量的影響。QoS流策略、NAT、IPSEC對上送CPU處理的報文進(jìn)行過濾對上送CPU的報文進(jìn)行必要的限制，可以避免CPU處理過多的協(xié)議報文造成占用率過高、性能下降。例如，發(fā)現(xiàn)某用戶向交換機(jī)發(fā)送大量的ARP攻擊報文，造成交換機(jī)CPU繁忙，引發(fā)系統(tǒng)中斷。這時就可以在本機(jī)防攻擊策略的黑名單中應(yīng)用ACL，將該用戶加入黑名單，使CPU丟棄該用戶發(fā)送的報文。黑名單、白名單、用戶自定義流路由過濾ACL可以應(yīng)用在各種動態(tài)路由協(xié)議中，對路由協(xié)議發(fā)布和接收的路由信息進(jìn)行過濾。例如，可以將ACL和路由策略配合使用，禁止交換機(jī)將某網(wǎng)段路由發(fā)給鄰居路由器。BGP、IS-IS、OSPF、

33、OSPFv3、RIP、RIPng、組播協(xié)議3.2 ACL業(yè)務(wù)模塊的處理機(jī)制各類ACL應(yīng)用的業(yè)務(wù)模塊對命中/未命中ACL的處理機(jī)制是各不相同的。例如，在流策略中應(yīng)用ACL時，如果ACL中存在規(guī)則但報文未匹配上，該報文仍可以正常通過；但在Telnet中應(yīng)用ACL，這種情況下，該報文就無法正常通過了。再如，在黑名單中應(yīng)用ACL時，無論ACL規(guī)則配置成permit還是deny，只要報文命中了規(guī)則，該報文都會被系統(tǒng)丟棄，其他模塊卻不存在這種情況。所以，大家在配置ACL規(guī)則并應(yīng)用到業(yè)務(wù)模塊中時，一定要格外小心。為了方便大家查閱，小編特地將常用ACL業(yè)務(wù)模塊的處理機(jī)制進(jìn)行了整理。業(yè)務(wù)模塊匹配上了permit

34、規(guī)則匹配上了deny規(guī)則ACL中配置了規(guī)則，但未匹配上任何規(guī)則ACL中沒有配置規(guī)則ACL未創(chuàng)建Telnetpermit（允許登錄）deny（拒絕登錄）deny（拒絕登錄） permit（允許登錄）permit（允許登錄）HTTPpermit（允許登錄）deny（拒絕登錄）deny（拒絕登錄）permit（允許登錄）permit（允許登錄）SNMPpermit（允許登錄）deny（拒絕登錄）deny（拒絕登錄）permit（允許登錄）permit（允許登錄）FTPpermit（允許登錄）deny（拒絕登錄）deny（拒絕登錄）permit（允許登錄）permit（允許登錄）TFTPpermit（

35、允許登錄）deny（拒絕登錄）deny（拒絕登錄）permit（允許登錄）permit（允許登錄）SFTPpermit（允許登錄）deny（拒絕登錄）deny（拒絕登錄）permit（允許登錄）permit（允許登錄）流策略流行為是permit時:permit（允許通過）流行為是deny時：deny（丟棄報文）deny(丟棄報文)permit（功能不生效，按照原轉(zhuǎn)發(fā)方式進(jìn)行轉(zhuǎn)發(fā)）permit（功能不生效，按照原轉(zhuǎn)發(fā)方式進(jìn)行轉(zhuǎn)發(fā)）permit（功能不生效，按照原轉(zhuǎn)發(fā)方式進(jìn)行轉(zhuǎn)發(fā)）NATpermit(進(jìn)行NAT轉(zhuǎn)換)permit（功能不生效，按照原轉(zhuǎn)發(fā)方式進(jìn)行轉(zhuǎn)發(fā)）permit（功能不生效，按照原

36、轉(zhuǎn)發(fā)方式進(jìn)行轉(zhuǎn)發(fā)） permit（功能不生效，按照原轉(zhuǎn)發(fā)方式進(jìn)行轉(zhuǎn)發(fā)）permit（功能不生效，按照原轉(zhuǎn)發(fā)方式進(jìn)行轉(zhuǎn)發(fā)）IPSECpermit(數(shù)據(jù)流經(jīng)過IPSec處理后再轉(zhuǎn)發(fā))不允許出現(xiàn)此情況permit（功能不生效，按照原轉(zhuǎn)發(fā)方式進(jìn)行轉(zhuǎn)發(fā)）不允許出現(xiàn)此情況不允許出現(xiàn)此情況本機(jī)防攻擊策略白名單permit(CPU優(yōu)先處理)deny(丟棄報文)permit （功能不生效，正常上送報文）permit（功能不生效，正常上送報文）permit（功能不生效，正常上送報文）黑名單deny(丟棄報文)deny(丟棄報文)permit （功能不生效，正常上送報文）permit （功能不生效，正常上送報文）p

37、ermit （功能不生效，正常上送報文）用戶自定義流用戶自定義流的處理動作是deny時：deny(丟棄報文) 動作是car時：permit(進(jìn)行CAR限速)deny(丟棄報文)permit （功能不生效，按照原轉(zhuǎn)發(fā)方式進(jìn)行轉(zhuǎn)發(fā)）permit （功能不生效，正常上送報文）permit （功能不生效，正常上送報文）路由Route Policy匹配模式是permit時：permit(允許執(zhí)行路由策略)匹配模式是deny時：deny(不允許執(zhí)行路由策略)deny（功能不生效，不允許執(zhí)行路由策略）deny（功能不生效，不允許執(zhí)行路由策略）permit（對經(jīng)過的所有路由生效）deny（功能不生效，不允許執(zhí)

38、行路由策略）Filter Policypermit（允許發(fā)布或接收該路由）deny（不允許發(fā)布或接收該路由）deny（不允許發(fā)布或接收該路由）deny（不允許發(fā)布或接收路由）permit（允許發(fā)布或接收路由）組播igmp-snooping ssm-policypermit(允許加入SSM組播組范圍)deny(禁止加入SSM組地址范圍)deny(禁止加入SSM組地址范圍)deny（禁止加入SSM組地址范圍，所有組都不在SSM組地址范圍內(nèi)）deny(禁止加入SSM組地址范圍，只有臨時組地址范圍55在SSM組地址范圍內(nèi))igmp-snooping grou

39、p-policy配置了default-permit時：permit(允許加入組播組)未配置default-permit： permit(允許加入組播組)配置了default-permit時：deny(禁止加入組播組)未配置default-permit：deny (禁止加入組播組)配置了default-permit時：permit（允許加入組播組）未配置default-permit：deny（禁止加入組播組）配置了default-permit時：permit（允許加入組播組）未配置default-permit：deny（禁止加入組播組）配置了default-permit時：permit（允許加入

40、組播組）未配置default-permit：deny（禁止加入組播組）3.3 ACL應(yīng)用方式每個業(yè)務(wù)模塊的ACL應(yīng)用方式，風(fēng)格也是各不相同。為此，小編同樣進(jìn)行了一番整理，供大家參考查閱。業(yè)務(wù)模塊ACL應(yīng)用方式可使用的ACL編號范圍Telnet方式一：系統(tǒng)視圖下執(zhí)行命令telnet ipv6 server acl acl-number方式二：a、執(zhí)行命令user-interface vty first-ui-number last-ui-number ，進(jìn)入VTY用戶界面視圖b、執(zhí)行命令acl ipv6 acl-number inbound | outbound 20003999HTTP系統(tǒng)視圖

41、下執(zhí)行命令http acl acl-number20003999SNMPSNMPv1和SNMPv2c：系統(tǒng)視圖下執(zhí)行命令snmp-agent acl acl-number或snmp-agent community read | write community-name | cipher community-name mib-view view-name | acl acl-number *SNMPv3：系統(tǒng)視圖下執(zhí)行命令snmp-agent acl acl-number、snmp-agent group v3 group-name authentication | privacy | noau

42、thentication read-view read-view | write-view write-view | notify-view notify-view * acl acl-number 或snmp-agent usm-user v3 user-name group group-name | acl acl- number *20002999FTP系統(tǒng)視圖下執(zhí)行命令ftp ipv6 acl acl-number20003999TFTP系統(tǒng)視圖下執(zhí)行命令tftp-server ipv6 acl acl-number20003999SFTP方式一：系統(tǒng)視圖下執(zhí)行命令ssh ipv6 s

43、erver acl acl-number方式二：a、執(zhí)行命令user-interface vty first-ui-number last-ui-number ，進(jìn)入VTY用戶界面視圖b、執(zhí)行命令acl ipv6 acl-number inbound | outbound 20003999流策略a、 系統(tǒng)視圖下執(zhí)行命令traffic classifier classifier-name operator and | or precedence precedence-value ，進(jìn)入流分類視圖。b、 執(zhí)行命令if-match acl acl-number | acl-name ，配置ACL應(yīng)用

44、于流分類。c、 系統(tǒng)視圖下執(zhí)行命令traffic behavior behaviorname，定義流行為并進(jìn)入流行為視圖。d、 配置流動作。報文過濾有兩種流動作：deny 或permit。e、 系統(tǒng)視圖下執(zhí)行命令traffic policy policy-name match-order auto | config ，定義流策略并進(jìn)入流策略視圖。f、 執(zhí)行命令classifier classifier-name behavior behavior-name，在流策略中為指定的流分類配置所需流行為，即綁定流分類和流行為。在系統(tǒng)視圖、接口視圖或VLAN視圖下，執(zhí)行命令traffic-policy

45、policy-name inbound | outbound ，應(yīng)用流策略。ACL：20005999ACL6：20003999NAT方式一：a、 系統(tǒng)視圖下執(zhí)行命令nat address-group group-index start-address end-address，配置公網(wǎng)地址池。b、 執(zhí)行命令interface interface-type interface-number.subnumber，進(jìn)入子接口視圖。c、 執(zhí)行命令nat outbound acl-number address-group group-index no-pat ，配置帶地址池的NAT Outbound。方式

46、二：a、 系統(tǒng)視圖下執(zhí)行命令interface interface-type interface-number.subnumber，進(jìn)入子接口視圖。b、 執(zhí)行命令nat outbound acl-number，配置Easy IP。20003999IPSEC方式一：a、 系統(tǒng)視圖下執(zhí)行命令ipsec policy policy-name seq-number manual，創(chuàng)建手工方式安全策略，并進(jìn)入手工方式安全策略視圖。b、 執(zhí)行命令security acl acl-number，在安全策略中引用ACL。方式二：a、 系統(tǒng)視圖下執(zhí)行命令ipsec policy policy-name seq-

47、number isakmp，創(chuàng)建IKE動態(tài)協(xié)商方式安全策略，并進(jìn)入IKE動態(tài)協(xié)商方式安全策略視圖。b、 執(zhí)行命令security acl acl-number，在安全策略中引用ACL。方式三：a、 系統(tǒng)視圖下執(zhí)行命令ipsec policy-template template-name seq-number，創(chuàng)建策略模板，并進(jìn)入策略模板視圖。b、 執(zhí)行命令security acl acl-number，在安全策略中引用ACL。c、 系統(tǒng)視圖下執(zhí)行命令ipsec policy policy-name seq-number isakmp template template-name，在安全策略中引

48、用策略模板。30003999本機(jī)防攻擊策略白名單a、 系統(tǒng)視圖下執(zhí)行命令cpu-defend policy policy-name，創(chuàng)建防攻擊策略并進(jìn)入防攻擊策略視圖。b、 執(zhí)行命令whitelist whitelist-id acl acl-number，創(chuàng)建自定義白名單。c、 系統(tǒng)視圖下執(zhí)行命令cpu-defend-policy policy-name global ，或槽位視圖下執(zhí)行命令cpu-defend-policy policy-name，應(yīng)用防攻擊策略。20004999黑名單a、 系統(tǒng)視圖下執(zhí)行命令cpu-defend policy policy-name，創(chuàng)建防攻擊策略并進(jìn)入防

49、攻擊策略視圖。b、 執(zhí)行命令blacklist blacklist-id acl acl-number，創(chuàng)建黑名單。c、 系統(tǒng)視圖下執(zhí)行命令cpu-defend-policy policy-name global ，或槽位視圖下執(zhí)行命令cpu-defend-policy policy-name，應(yīng)用防攻擊策略。20004999用戶自定義流a、 系統(tǒng)視圖下執(zhí)行命令cpu-defend policy policy-name，創(chuàng)建防攻擊策略并進(jìn)入防攻擊策略視圖。b、 執(zhí)行命令user-defined-flow flow-id acl acl-number，配置用戶自定義流。c、 系統(tǒng)視圖下執(zhí)行命令c

50、pu-defend-policy policy-name global ，或槽位視圖下執(zhí)行命令cpu-defend-policy policy-name，應(yīng)用防攻擊策略。20004999路由Route Policya、 系統(tǒng)視圖下執(zhí)行命令route-policy route-policy-name permit | deny node node，創(chuàng)建Route-Policy，并進(jìn)入Route-Policy視圖。b、 執(zhí)行命令if-match acl acl-number | acl-name ，配置基于ACL的匹配規(guī)則；或者配置apply子句為路由策略指定動作，如執(zhí)行命令apply cost

51、+ | - cost，設(shè)置路由的開銷值等。c、 應(yīng)用路由策略。路由協(xié)議不同，命令行不同。例如針對OSPF協(xié)議，可以在OSPF視圖下，執(zhí)行命令import-route limit limit-number | bgp permit-ibgp | direct | unr | rip process-id-rip | static | isis process-id-isis | ospf process-id-ospf cost cost | type type | tag tag | route-policy route-policy-name * ，引入其他路由協(xié)議學(xué)習(xí)到的路由信息；針對RI

52、P協(xié)議，可以在RIP視圖下，執(zhí)行命令import-route static | direct | unr | rip | ospf | isis process-id cost cost | route-policy route-policy-name *。20002999Filter Policy路由協(xié)議不同，過濾方向不同，命令行不同。例如針對RIP協(xié)議，對引入的路由進(jìn)行過濾，可以在RIP視圖下執(zhí)行命令filter-policy acl-number | acl-name acl-name | ip-prefix ip-prefix-name gateway ip-prefix-name i

53、mport interface-type interface-number ；對發(fā)布的路由進(jìn)行過濾，可以在RIP視圖下執(zhí)行命令filter-policy acl-number | acl-name acl-name | ip-prefix ip-prefix-name export protocol process-id | interface-type interface-number 。20002999組播igmp-snooping ssm-policyVLAN視圖下執(zhí)行命令igmp-snooping ssm-policy basic-acl-number20002999igmp-snoo

54、ping group-policyVLAN視圖下執(zhí)行命令igmp-snooping group-policy acl-number version version-number default-permit 20003999好啦，有了小編整理的這兩張表做參考，配置ACL應(yīng)用案例就可以輕松搞定啦！下面就跟隨小編一起，動手試試吧3.4 ACL應(yīng)用案例案例1：使用ACL限制Telnet訪問權(quán)限為了保障遠(yuǎn)程維護(hù)網(wǎng)絡(luò)設(shè)備的安全性，現(xiàn)要求只有管理員（源地址是/32）才能telnet登錄交換機(jī)，其他人不允許登錄。要實現(xiàn)這個需求，一定是在Telnet模塊中應(yīng)用ACL。那么該如何配置ACL規(guī)則呢

55、？大家是不是認(rèn)為應(yīng)該先配置一條permit規(guī)則允許/32登錄，然后再配置多條deny規(guī)則拒絕其他地址登錄呢？其實大可不必。查閱Telnet模塊的報文處理機(jī)制參照表，當(dāng)ACL中存在規(guī)則的情況下，如果報文匹配上permit規(guī)則，則該地址允許登錄設(shè)備；如果未匹配上規(guī)則，該地址被拒絕登錄設(shè)備。業(yè)務(wù)模塊匹配上了permit規(guī)則匹配上了deny規(guī)則ACL中配置了規(guī)則，但未匹配上任何規(guī)則ACL中沒有配置規(guī)則ACL未創(chuàng)建Telnetpermit（允許登錄）deny（拒絕登錄）deny（拒絕登錄） permit（允許登錄）permit（允許登錄）因此，我們僅需配置一條允許/32地址通過的permit規(guī)則即可，/32以外的地址的報文因匹配不上任何規(guī)則會被拒絕登錄。案例1關(guān)鍵配置的配置文件如下：#telnet server port 1025#acl number 2001 /創(chuàng)建基本ACL，編號為2001 rule 5 permit source 0 /僅允許/32登錄#aaa local-user admin1234 password irreversible-cipher * /登錄密碼用*代替，請根據(jù)實際情況