🧑💻9 ACL原理与配置
type
status
date
slug
summary
tags
category
icon
password
1:ACL有什么作用?哪些类型的设备上可以创建ACL?
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性
ACL可以在多种类型的网络设备上创建和应用,包括但不限于:
- 路由器:在路由器上配置ACL可以控制路由器接口的进出流量。
- 交换机:交换机上的ACL可以应用于VLAN、端口或接口,控制内部网络的流量。
- 防火墙:防火墙通常基于ACL来实现复杂的安全策略,允许或阻止特定流量。
- 无线控制器:用于管理无线网络的接入控制和流量过滤。
- 服务器:服务器操作系统(如Linux和Windows)上也可以配置ACL,控制服务的访问。
- 云服务和虚拟设备:如AWS、Azure等云服务平台,虚拟网络设备也支持ACL配置,控制虚拟机之间的流量。
通过在这些设备上配置ACL,网络管理员可以实现灵活而有效的访问控制,确保网络资源的安全和高效使用。
2:ACL规则的匹配原则是什么?
由小到大,一旦命中即停止匹配,全部没有命中就执行缺省规则
- 自上而下匹配:ACL中的规则会按照它们在列表中的顺序逐条进行匹配。因此,当一个数据包或请求到达时,会从列表的顶部开始逐条检查,直到找到与该数据包或请求匹配的规则为止。
- 一旦命中即停止匹配:一旦找到了与数据包或请求匹配的规则,ACL会立即停止进一步的匹配过程,并根据匹配的规则来执行相应的操作(通常是允许通过或者拒绝)。
- 全部没有命中执行缺省规则:如果数据包或请求不匹配任何ACL规则,那么通常会执行设定的缺省规则。缺省规则可以是允许所有的数据包通过(即允许访问),或者拒绝所有的数据包(即拒绝访问),这取决于管理员或设定ACL的策略。
3:华为设备的ACL可以分为哪些类型?每种类型的ACL根据什么信息匹配数据包?
- 基本ACL:仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。
- 高级ACL:可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。
- 二层ACL:使用报文的以太网帧头信息来定义规则,如根据源MAC地址、目的MAC地址、二层协议类型等。
- 用户自定义ACL:使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。
- 用户ACL:既可使用IPv4报文的源IP地址或源UCL(User Control List)组,也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。
4:抵达设备的流量、穿越设备(经设备转发)的流量及设备自身发出的流量是否都能使用ACL控制?
都能够
- 抵达设备的流量(Ingress Traffic):
- 可以使用ACL控制。
- 典型应用场景是配置在设备接口的入口(Ingress),用来过滤和控制进入设备的流量。例如,过滤从外部网络进入内部网络的流量。
- 穿越设备的流量(Transit Traffic):
- 可以使用ACL控制。
- 应用于设备的转发路径上,控制通过设备并被转发到其他目的地的流量。例如,在路由器上配置ACL来控制跨越不同子网的流量。
- 设备自身发出的流量(Egress Traffic):
- 可以使用ACL控制。
- 配置在设备接口的出口(Egress),用来控制设备发出的流量。这包括设备本身生成的管理流量以及从设备接口发往其他网络的流量。
总结
ACL可以应用于控制三类流量:
- Ingress ACL:控制进入设备的流量。
- Transit ACL:控制穿越设备的流量。
- Egress ACL:控制设备自身发出的流量。
通过在不同接口和方向上配置ACL,华为设备能够实现全面的流量控制和安全管理。
5:基本ACL应该在靠近源的位置调用还是靠近目的的位置调用?高级ACL呢?
- 基本ACL应该靠近目的的位置调用
- 高级ACL应该靠近源的位置调用
6:请列举基本ACL的应用场景和高级ACL的应用场景。
使用基本ACL过滤数据流量
使用高级ACL限制不同网段的用户互访
7:在设备上创建ACL后,发现不生效,可能的原因是什么?如何排查?
- ACL规则配置错误,导致相应流量匹配不上规则,或者匹配了错误的规则
- 缺少明确放行的语句
- 调用ACL的位置不合适
- ACL资源不够导致ACL规则创建失败
上一篇
8 实现VLAN间通信
下一篇
10 网络地址转换
Loading...