stake官网

Stake(中国区)官方网站

中文

Stake(中国区)官方网站

Stake(中国区)官方网站

登录

Stake(中国区)官方网站

产品

< 返回主菜单

产品

解决计划

< 返回主菜单

解决计划中心

行业

服务支持

合作伙伴

关于stake官网

投资者关系

返回主菜单

选择区域/语言

Stake(中国区)官方网站

首页 >服务与支持 >常见问题 >ACL是什么，，，，，，，怎样设置？？？？？

ACL是什么，，，，，，，怎样设置？？？？？

宣布时间：2023-03-24

点击量：3516

ACL功效先容

ACL（Access Control List，，，，，，，会见控制列表）也称为会见列表，，，，，，，有的文档中还称之为包过滤。。。。。。。。ACL通过界说一系列包括“允许”或“拒绝”的规则语句，，，，，，，并将这些规则应用到装备接口上，，，，，，，对收支接口的数据包举行控制，，，，，，，从而提升网络装备的清静性。。。。。。。。

设置ACL能够包管网络清静、可靠和稳固，，，，，，，例如：

l 避免报文攻击：针对IP、TCP或者ICMP报文的攻击，，，，，，，对这些攻击报文做“拒绝”处置惩罚。。。。。。。。

l 网络会见控制：限制用户会见服务，，，，，，，例如只允许会见WWW和电子邮件服务，，，，，，，其他服务如Telnet则榨取。。。。。。。�；；；；；蛘咧辉市碓诟ǖ氖奔涠文诨峒�，，，，，，，或者只允许特定主机会见网络等。。。。。。。。

l 网络流量控制：团结QoS可以为主要的数据流举行优先服务包管。。。。。。。。关于QoS的设置请拜见“QoS”。。。。。。。。

事情原理

1. 基本看法

l 会见列表

会见列表有：基本会见列表和动态会见列表。。。。。。。。

用户可以凭证需要选择基本会见列表或动态会见列表。。。。。。。。一样平常情形下，，，，，，，使用基本会见列表已经能够知足清静需要。。。。。。。。但攻击者可能通过软件冒充源地址诱骗装备，，，，，，，从而会见网络。。。。。。。。而动态会见列表在用户会见网络以前，，，，，，，要求通过身份认证，，，，，，，使攻击者难以会见网络。。。。。。。。在敏感区域可以使用动态会见列表包管网络清静。。。。。。。。

说明

通过冒充源地址诱骗装备即电子诱骗是所有会见列表固有的问题，，，，，，，使用动态列表也会遭遇电子诱骗问题：攻击者可能在用户通过身份认证的有用会见时代，，，，，，，冒充用户的地址会见网络。。。。。。。。解决该问题的要领有两种，，，，，，，一种是只管设置更短的用户会见空闲时间；；；；；另一种是使用IPsec加密协议对网络数据举行加密，，，，，，，确保进入装备时，，，，，，，所有的数据都是加密的。。。。。。。。

会见列表一样平常设置在以下位置的网络装备上：

○ 内部网和外部网（如Internet）之间的装备

○ 两个网络接壤部分的装备

○ 接入控制端口的装备

l ACE

ACE（Access Control Entry，，，，，，，会见控制条目）是包括“允许（Permit）”或“拒绝（Deny）”两种行动，，，，，，，以及过滤规则的一条语句。。。。。。。。每个ACE都有一个序号，，，，，，，该序号可由装备自动分派或者手动设置。。。。。。。。一条ACL中包括一个或者多个ACE。。。。。。。。ACL通过ACE对数据包举行标识过滤。。。。。。。。

ACL中ACE的顺序决议了该ACE在会见列表中的匹配优先级。。。。。。。。网络装备在处置惩罚报文时，，，，，，，按ACE的序号从小到大举行规则匹配，，，，，，，当找到匹配的ACE后则阻止检查后续的ACE。。。。。。。。

例如建设一条序号为10的ACE，，，，，，，它拒绝所有的数据流通过。。。。。。。。

10 deny ip any any

20 permit tcp 192.168.12.0 0.0.0.255 eq telnet any

由于序号为10的ACE拒绝了所有的IP报文，，，，，，，纵然192.168.12.0/24网络的主机Telnet报文，，，，，，，可以被序号为20的ACE匹配，，，，，，，该报文也将被拒绝。。。。。。。。由于装备在检查到报文和序号为10的ACE匹配后，，，，，，，便阻止检查后面序号为20的ACE。。。。。。。。

又例如建设一条编号为10的ACE，，，，，，，它允许所有的IPv6数据流通过。。。。。。。。

10 permit ipv6 any any

20 deny ipv6 host 200::1 any

由于序号为10的ACE允许所有的IPv6报文通过，，，，，，，主机200::1发出的IPv6报文，，，，，，，纵然匹配序号为20的ACE，，，，，，，该报文也将被允许通过。。。。。。。。由于装备在检查到报文和第一条ACE匹配，，，，，，，便阻止检查后面序号为20的ACE。。。。。。。。

l 步长

当装备为ACE自动分派序号时，，，，，，，两个相邻ACE序号之间的差值，，，，，，，称为步长。。。。。。。。例如，，，，，，，若是将步长设定为5，，，，，，，则装备凭证5、10、15…这样的递增顺序自动为ACE分派序号。。。。。。。。如下所示。。。。。。。。

5 deny ip any any

10 permit tcp 192.168.12.0 0.0.0.255 eq telnet any

当步长改变后，，，，，，，ACE序号会自动按新步长值重新分派。。。。。。。。例如，，，，，，，当把步长改为10后，，，，，，，原来ACE序号从5、10、15酿成5、15、25。。。。。。。。

通过改变步长可以在两个ACE之间插入新的ACE。。。。。。。。例如建设了4个ACE，，，，，，，并通过手动设置ACE序号划分为1、2、3和4。。。。。。。。若是希望能在序号1后面插入一条新的ACE，，，，，，，则可以先将步长修改为2，，，，，，，此时原先4个ACE的序号自动变为1、3、5和7，，，，，，，再插入一条手动设置的序号为2的ACE。。。。。。。。

l 过滤域模板

过滤域指的是天生一条ACE时，，，，，，，凭证报文中的哪些字段对报文举行识别、分类。。。。。。。。过滤域模板就是这些字段的组合。。。。。。。。ACE凭证以太网报文的某些字段来标识以太网报文，，，，，，，这些字段包括：

二层字段（Layer 2 Fields）：

○ 48位的源MAC地址（必需说明所有48位）

○ 48位的目的MAC地址（必需说明所有48位）

○ 16位的二层类型字段

三层字段（Layer 3 Fields）：

○ 源IP地址字段（可以说明所有源IP地址值，，，，，，，或使用子网来界说一类流）

○ 目的IP地址字段（可以说明所有目的IP地址值，，，，，，，或使用子网来界说一类流）

○ 协议类型字段

四层字段（Layer 4 Fields）：

○ 可以说明一个TCP的源端口、目的端口或者都说明，，，，，，，还可以说明源端口或目的端口的规模。。。。。。。。

○ 可以说明一个UDP的源端口、目的端口或者都说明，，，，，，，还可以说明源端口或目的端口的规模。。。。。。。。

例如，，，，，，，在建设一条ACE时需要凭证报文的目的IP字段，，，，，，，对报文举行识别和分类。。。。。。。。而在建设另一条ACE时，，，，，，，需要凭证报文的源IP地址字段和UDP的源端口字段，，，，，，，对报文举行识别和分类。。。。。。。。这两条ACE就使用了差别的过滤域模板。。。。。。。。

l 规则

规则（Rules）指的是ACE过滤域模板对应的值。。。。。。。。例如，，，，，，，一条ACE的内容如下：

10 permit tcp host 192.168.12.2 any eq telnet

在这条ACE中，，，，，，，过滤域模板为以下字段的荟萃：源IP地址字段、目的IP地址字段、IP协议字段、TCP目的端口字段。。。。。。。。对应的值（即规则）划分为：源IP地址为Host 192.168.12.2、目的IP地址为Any（即所有主机）、IP协议为TCP、TCP目的端口为Telnet。。。。。。。。如图1-1所示。。。。。。。。

图1-1 对ACE：permit tcp host 192.168.12.2 any eq telnet的剖析

典范设置举例

IP标准ACL设置举例

1. 组网需求

通过设置IP标准ACL，，，，，，，榨取财务部以外的部分会见财务数据服务器。。。。。。。。

2. 组网图

图1-3 IP标准ACL应用场景组网图

3. 设置要点

l Device A设置IP标准ACL并添加会见规则。。。。。。。。

l Device A将IP标准ACL应用在毗连财务数据服务器接口的出偏向上。。。。。。。。

4. 设置办法

(1) 设置IP标准ACL并添加会见规则。。。。。。。。

# Device A设置IP标准ACL并添加会见规则。。。。。。。。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# ip access-list standard 1

DeviceA(config-std-nacl)# permit 10.1.1.0 0.0.0.255

DeviceA(config-std-nacl)# deny 11.1.1.1 0.0.0.255

DeviceA(config-std-nacl)# exit

(2) 将IP标准ACL应用到接口上。。。。。。。。

# Device A将ACL应用在毗连财务数据服务器接口的出偏向上。。。。。。。。

DeviceA(config)# interface gigabitethernet 0/3

DeviceA(config-if-GigabitEthernet 0/3)# ip access-group 1 out

5. 验证设置效果

# 检查Device A装备ACL设置下令是否准确。。。。。。。。

DeviceA# show access-lists

ip access-list standard 1

10 permit 10.1.1.0 0.0.0.255

20 deny 11.1.1.0 0.0.0.255

DeviceA# show access-group

ip access-group 1 out

Applied On interface GigabitEthernet 0/3

# 从开发部的某台PC机上ping财务数据服务器，，，，，，，确认ping欠亨。。。。。。。。

# 从财务部的某台PC机上ping财务数据服务器，，，，，，，确认能ping通。。。。。。。。

6. 设置文件

l DeviceA的设置文件

hostname DeviceA

!

ip access-list standard 1

10 permit 10.1.1.0 0.0.0.255

20 deny 11.1.1.0 0.0.0.255

!

interface GigabitEthernet 0/1

no switchport

ip address 10.1.1.1 255.255.255.0

!

interface GigabitEthernet 0/2

no switchport

ip address 11.1.1.1 255.255.255.0

!

interface GigabitEthernet 0/3

no switchport

ip access-group 1 out

ip address 12.1.1.1 255.255.255.0

!

更多案例

IP扩展ACL设置举例

MAC扩展ACL设置举例

专家级扩展ACL设置举例

IPv6 ACL设置举例

ACL80设置举例

基于时间段的ACL规则设置举例

SVI Router ACL设置举例

CL报文计数统计设置举例

您可能还关注的问题

售前咨询
售后服务
意见反响

Stake(中国区)官方网站

返回顶部

收起

文档AI助手

文档评价

该资料是否解决了您的问题？？？？？

您对目今页面的知足度怎样？？？？？

不咋滴

很是好

您知足的缘故原由是（多�。。。。。。。。�？？？？

您对文档是否尚有其它的问题或建议？？？？？

为尽快解决问题，，，，，，，请您留下联系方法以便回复

邮箱

手机号

谢谢您的反�。。。。。。。。�

Stake(中国区)官方网站

Stake(中国区)官方网站

Stake(中国区)官方网站

请选择服务项目

售前咨询

售后服务

意见反响

更多联系方法