ACL(访问控制列表)的应用.docVIP

ACL的应用 概述 属于IOS包过滤防火墙的一部分，但是现在不仅仅是用在这个方面。 现在可以应用在： data plan 通过一些对数据包的匹配，抓到数据包对数据包进行丢弃或者转发等操作（对象:数据包、数据帧） control plan 对路由条目的匹配，对路由条目执行策略（路由条目） 理论以及命令 全局模式下：access-list 1-99 IP标准访问控制列表 100-199IP扩展访问控制列表 200-299协议类型代码访问控制列表 没有明确标准的应用的流量 300-399DECnet 访问控制列表 700-79948bit MAC地址访问控制列表 1100-1199扩展的48bit MAC地址访问控制列表 1300-1999IP标准访问控制列表 2000-2699IP扩展访问控制列表 这些包含了常见的IP的二层协议和三层协议 标准 只能匹配协议中的一个地址（源地址） 命令 access-list 1 permit（允许）/deny（拒绝）/remark hostname/x.x.x.x/any（所有主机通配符32个1）/host（一台单一主机通配符32个0） 掩码：/nnx.x.x.x log/cr 例子 access-list 1 permit 访问控制列表必须在某种技术环节下调用，否则不存在任何意义。一般调用在接口下，比较常用。 调用的时候有方向：in或者out 注意：每条访问控制列表后面都有一个隐式拒绝 一个编号的访问控制列表可以使用多行，默认一般都是以10 开始编号，间隔是10，最大是2147483647。一般认为无上限。 ACL书写的时候注意，是金字塔式的，从上到下，匹配的范围越来越大。因为ACL一旦匹配，就会立即执行动作，不会放到后一条。 例子：first：deny Second：permit Third：deny ACL使用反掩码（标识一个子网的范围）和通配符（不连续）确定所写的网段的路由范围 反掩码与通配符的不同，是通配符不用连续 例子： 如何用通配符匹配 192.1680 192.1680 192.1680 红位标注为不一致的地方，其他均为一致的地方，一致的地方使用0标识不一致的地方使用1标识，而且匹配IP地址最后的几个比特不做严格限制，最后结果是： （3.0、5.0都行最后默认都会变成1.0） 55（通配符） 网络号是匹配路由的时候使用，IP是对数据包进行匹配 show ip access-lists 查询出匹配了多少包 clear ip access-lists counters [acl num]/cr 没加反掩码或者通配符的话，那么后面自动跟上 如果先permit any 再permit 明细的话，会报错。扩展访问控制列表不会（因为有不同协议等） 扩展 可以匹配两个地址（源目的）、协议号、端口号等 扩展访问控制列表可以控制源和目的。 全局模式下：access-list 100 permit/deny/remark 协议/协议编号范围 x.x.x.x（源地址）/any/host/object-group x.x.x.x（目的地址）/any/host/object-group 如果用的是IP协议最后还可以加上IP包头当中的不同字段 如果是TCP协议最后还可以加tcp包中的各种位 如果加上eq(等于)/gt(大于)/lt(小于) 可以匹配TCP端口号 如果在eq xx 后面还可以加某些端口下的特殊位 eq xx还可以放在源地址和目的地址之间。 如果eq xx 放在源地址后，匹配源端口；放在目的地址后匹配目的端口号 和标准访问控制列表一样需要调用。 访问控制列表调用 接口下调用：in/out 切记ACL不能控制本地始发流量，环回接口也是一样。ciscoIOS特性 如果想过滤始发流量： 第一种方法：route-map 第二种方法：service-policy 偏移列表 偏移列表（只能跟标准的） offset-list x in/out x fx/x（进接口） acl x 匹配的路由都会在原有的metric上加x 此时acl时需要注意匹配的写法需要和路由表中的显示的一样，如果不想保持一致，可以使用通配符匹配，例如： 55 注意：标准访问控制列表只能匹配路由条目，扩展访问控制列表可以匹配条目和掩码。 前缀列表 特点：可以增量修改，比numberACL来讲删除一条整条就删除了，前缀列表可以单独删除活添加。 在IOS12.0以后的版本使用。 比ACL有性能的改进。如果ACL超过1000条以上，此时更改成前缀列表，那么可能消耗资源占用会降低70%-85%