ACL与包过滤

已于 2025-07-14 23:04:18 修改
阅读量981 收藏 24
点赞数 20
CC 4.0 BY-SA版权
文章标签: 网络
于 2025-07-14 22:50:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_78695804/article/details/149336847

一、ACL概述

1. ACL定义

ACL(Access Control List,访问控制列表)是用来实现数据包识别功能的列表,由若干条规则条目组成,每条规则包含匹配条件和执行动作(permit或deny)。

2. 应用场景

  • 包过滤功能:对数据包进行放通或过滤操作。

  • 网络地址转换(NAT)

  • 按需拨号

  • QoS流分类:只对数据包进行匹配,或者说对数据 包进行流量分类。

  • 路由过滤:对路由进行放行或过滤操作。

  • 路由策略:只对路由进行匹配。

二、ACL包过滤工作原理

1. 基本流程

  1. 配置ACL规则条目

  2. 将ACL绑定到设备接口

  3. 数据包匹配规则:

    • 匹配permit规则:放行

    • 匹配deny规则:丢弃

    • 未匹配任何规则:执行隐含规则(思科默认deny,华为/华三可配置)

2. 方向性

  • 入方向(in):数据包进入设备的方向

  • 出方向(out):数据包离开设备的方向

  • 每个接口的每个方向只能绑定1条ACL

3. 厂商差异

思科ACL特点:

  • 最后隐含拒绝所有规则

  • 规则按配置顺序严格匹配

华为/华三ACL特点:

  • 无最后隐含规则

  • 可配置全局默认规则:firewall default { permit | deny }

三、ACL分类

1、传统标准ACL (Standard Numbered ACL)

(1). 基本特性

  • 标识方式:使用数字编号

  • 编号范围

    • 思科/锐捷:1-99,1300-1999

    • 华为/H3C:2000-2999

  • 匹配字段:仅源IP地址

  • 配置位置:通常应用在靠近目标的接口(out方向)

(2). 配置语法(思科)
access-list <1-99|1300-1999> {permit|deny} <源IP> <通配符掩码>
(3). 典型示例
! 允许192.168.1.0/24网段,拒绝其他所有流量
access-list 10 permit 192.168.1.0 0.0.0.255
! 隐含拒绝所有(思科)
(4). 应用接口
interface FastEthernet0/1
 ip access-group 10 out
(5). 优缺点

  • 优点:配置简单,资源消耗少

  • 缺点:只能按照顺序增加规则,不能从中间新增,删除一个规则即删除整条条目,控制粒度粗,无法基于协议/端口过滤

2.命名标准ACL (Standard Named ACL)

(1). 基本特性

  • 标识方式:使用有意义的名称

  • 匹配字段:仅源IP地址

  • 优势:支持规则条目的插入、删除和修改

(2). 配置语法(思科)
ip access-list standard <ACL名称>
 [序列号] {permit|deny} <源IP> <通配符掩码>
(3). 典型示例
ip access-list standard INTERNAL_ACCESS
 10 permit 192.168.1.0 0.0.0.255
 20 permit 10.1.1.0 0.0.0.255
! 在10-20之间可随时插入新规则
 15 permit 172.16.1.0 0.0.0.255
(4). 应用接口
interface FastEthernet0/1
 ip access-group INTERNAL_ACCESS out
(5). 管理操作
! 删除特定规则
no 15
! 添加新规则
30 deny 192.168.2.0 0.0.0.255

3、传统扩展ACL (Extended Numbered ACL)

(1). 基本特性

  • 标识方式:使用数字编号

  • 编号范围

    • 思科/锐捷:100-199,2000-2699

    • 华为/H3C:3000-3999

  • 匹配字段:五元组(源/目IP、协议、源/目端口)

  • 配置位置:通常应用在靠近源的接口(in方向)

(2). 配置语法(思科)
access-list <100-199|2000-2699> {permit|deny} <协议> <源IP> <通配符> [源端口] <目的IP> <通配符> [目的端口]
(3). 典型示例
! 允许内网访问外网WEB和DNS
access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80
access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 443
access-list 101 permit udp 192.168.1.0 0.0.0.255 any eq 53
(4). 应用接口
interface FastEthernet0/0
 ip access-group 101 in
(5). 优缺点

  • 优点:控制粒度精细

  • 缺点:配置复杂,资源消耗较大

4、命名扩展ACL (Extended Named ACL)

(1). 基本特性

  • 标识方式:使用有意义的名称

  • 匹配字段:五元组(源/目IP、协议、源/目端口)

  • 优势:支持规则条目的灵活管理

(2). 配置语法(思科)
ip access-list extended <ACL名称>
 [序列号] {permit|deny} <协议> <源IP> <通配符> [源端口] <目的IP> <通配符> [目的端口]
(3). 典型示例
ip access-list extended OUTBOUND_FILTER
 10 permit tcp 192.168.1.0 0.0.0.255 any eq www
 20 permit tcp 192.168.1.0 0.0.0.255 any eq 443
 30 permit udp 192.168.1.0 0.0.0.255 any eq domain
! 插入新规则
 15 permit icmp 192.168.1.0 0.0.0.255 any echo
(4). 应用接口
interface FastEthernet0/0
 ip access-group OUTBOUND_FILTER in

五、ACL高级应用

1. 基于时间的ACL

time-range off-work
 periodic weekdays 09:00 to 18:00
exit
access-list 100 deny ip 172.16.1.0 0.0.0.255 any time-range off-work
access-list 100 permit tcp 172.16.1.0 0.0.0.255 any eq www

2. 自反ACL(实现单向访问)

ip access-list extended flow-out
 permit ip 192.168.0.0 0.0.3.255 any reflect name1
ip access-list extended flow-in
 evaluate name1
interface F0/4
 ip access-group flow-out out
 ip access-group flow-in in

六、典型配置案例

1. 原始标准ACL案例

拓扑如下

需求: 让vlan10与vlan 20之间无法通信

设置一个名字为10的条目,其中拒绝10.0网段的流量通过(cisco是默认拒绝所有规则的,所以还需要在写一条),一个允许所有流量通过规则。将其条目绑定在vlan 20这个逻辑接口的出方向。

access-list 10 deny 192.168.10.0 0.0.0.255
access-list 10 permit any
int vlan 20
ip access-group 10 out

2. 命名标准ACL案例

需求:在1的基础上再加一个vlan 8流量不能和vlan 20通信

ip access-list standard vlan20(创建一个名为vlan20的命名标准acl) 
5(序号)deny 192.168.10.0 0.0.0.255 
10 permit any 
7 deny 192.168.8.0 0.0.0.255 
int vlan 20 
ip access-group vlan20 out(将其绑定在vlan 20逻辑接口的出接口)

就会发现虽然我是后写的7规则但是实际会添加在5和10规则中间

实验结果

 

3. 传统拓展ACL案例

需求:拒绝vlan 20的主机去访问DHCP服务器获取地址,但是能通信。

access-list 101 deny udp any(源ip) eq(源端口) 68 any(目的ip) eq(目的端口) 67
access-list 101 permit ip any any
int vlan 20 
ip access-group 101 in(就近原则,避免资源浪费)

实验结果 ,能ping通但是不能成功获取ip

4. 命名拓展ACL案例 

需求:在3的基础上,不允许vlan 20流量访问web服务,但是能ping通

ip access-list extended vlan20
5 deny udp any eq 68 any eq 67
10 permit ip any any 
int vlan 20 
ip access-group vlan20 in(要想拒绝vlan 20流量去访问web,还得加一条)
ip access-list extended vlan20
7 deny tcp any 192.168.30.252 0.0.0.255 eq 80

这是命令配上之后的显示,

实验结果。vlan20的流量不能被允许访问web了但是能ping通服务器

拓展一个概念(控制粒度粗/细)

  1. 标准ACL(粗粒度)
    像小区门卫,只认"你是谁"(源IP地址)
    要么全放行,要么全禁止
    举例:只允许192.168.1.0网段访问

  2. 扩展ACL(细粒度)
    像高级安检机,能检查:

    • 你是谁(源IP)

    • 你要去哪(目标IP)

    • 用什么交通工具(TCP/UDP协议)

    • 去几楼(端口号)
      举例:只允许市场部(192.168.2.0)在工作时间(9:00-18:00)访问财务系统(10.1.1.1)的网页(80端口)

 

h3c系列交换机ACL实践
henu_lxz的博客
04-22 1万+
学习目标: 认识h3c的两种ACL:basic acl 、advancedacl如何使用acl中的source ip或destination ip在接口下或interface vlan调用时inbound/outbound。 学习内容: 本次实验的拓扑如下: 1、如上图所示在交换机SW1上配置basic acl控制R1或客户server 3访问内网ssh服务的接口地址或loop back地址。以便验证系列交换机如何配置basic acl并调用在接口下。 2、如上图所示在交换机SW1上配..
H3C-ACL基础配置实验
weixin_44923066的博客
04-03 4828
步骤二PC1 可以访问 SERVER1 的 TELNET 服务,但不能访问 FTP 服务。②:PC1 可以访问 SERVER1 的 TELNET 服务,但不能访问 FTP 服务。③:PC2 可以访问 SERVER1 的 FTP 服务,但不能访问 TELNET 服务。步骤:PC2可以访问 SERVER1 的 FTP服务,但不能访问 TELNET 服务。3.在 SERVER1 上配置开启 TELNET 和 FTP 服务,开启即可-略。网段不允许访问 SERVER1,要求通过高级 ACL 实现。
(H3C)模拟器配置ACL实验
qq_52867389的博客
12-23 9254
(H3C)模拟器配置ACL实验实现数据包过滤拦截
NewH3C——ACL
qq_44859533的博客
02-13 8929
一、ACL概念 1、acl定义: 访问控制列表;用于数据流的匹配和筛选 2、功能: 访问控制:ACL+Packet-filter 路由控制:ACL+Route-policy 流量控制:ACL+QOS 二、ACL包过滤 1、定义: 对进出的数据包逐包检查,丢弃或允许通过(设备默认是允许) 注意:包过滤必须配置在接口的某个方向上才能生效;一个接口的一个方向只能配置一个包过滤策略 2、包过滤的方向 入方向(inbount): 只对从外部进入的数据包做过滤 出方向(outbount):只对从内部发出的
为H3C ACL配置
热门推荐
弱水滴石的博客
01-16 6万+
一、ACL功能简介 随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据包进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。 二、ACL种类 1. 基本ACL:只根据数据包的源IP地址制定规则,序号
业务访问控制----ACL包过滤
菜菜的博客
07-24 1156
ACL概述,ACL应用场景,ACL包过滤的工作原理,ACL的分类及应用,ACL高级应用,典型ACL包过滤案例
H3C_ACL包过滤基础配置案例
04-18
**H3C ACL包过滤基础配置案例详解** 在H3C网络设备中,访问控制列表(ACL)是一种重要的网络安全和流量管理工具,用于定义网络流量的过滤规则。本文档将详细讲解一个基于H3C设备的ACL包过滤基础配置案例,适用于H3...
25.5配置ACL包过滤
qwefghs的博客
04-25 1488
基本访问控制列表的配置可以分为两部分:第1步:设置访问控制列表序列号,基本访问控制列表的序列号范围为2000-2999:第2步:定义规则,允许或拒绝来自指定网络的数据包,并定义参数:其中主要的参数含义如下:● deny:表示拒绝符合条件的报文;● permit:表示允许符合条件的报文通过;● counting:表示使能了规则匹配统计功能,缺省为关闭;● fragment:分片信息。定义规则仅对非首片分片报文有效,而对非分片报文和首片分片报文无效。
ACL(用访问控制列表实现包过滤
m0_51600840的博客
07-12 3455
ACL(AccessControlList,访问控制列表)
网络安全技术——基于ACL包过滤策略
网工紫电的博客
09-19 2760
点击上方“蓝字”关注我们吧ACL基础ACL(Access Control List)访问控制列表,用来识别数据的规则,通过ACL对数据报文进行过滤,符合规则的数据被筛选出来,进行下一步...
基础--清除配置、路由、SSH、VLAN、RSTP、ACL
Richardlygo的博客
12-25 1万+
目的地址 掩码 下一跳。当前配置可能在重启后丢失,是否保存当前配置?[Y / N]: N。保存的配置文件将被擦除。[Y / N]: Y。该命令将重新启动设备。[Y / N]: Y。此命令将恢复默认设置。[Y / N]: Y。2、reboot (重启才会生效)SW-B要去PC-12,静态路由怎么写。1、默认是开了stp的,要先关了。2、开启ssh服务,并创建秘钥。3、创建ssh用户密码、级别。3、将端口添加到vlan中。2、在ping是不通的。4、在ping是通的。
网络基础:ACLNAT
cronaldo91的博客
04-22 300
NAT(Network Address Translation,网络地址转换),NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。它是由一系列条件规则(即描述报文匹配条件的判断语句)组成, 这些条件规则可以是报文的源地址、目的地址、端口号等,是一种应用在网络设备各种软硬接口上的的指令列表。NAT Server,内网服务器对外提供服务,针对目的IP和目的端口映射,内网服务器的相应端口映射成路由器公网IP地址的相应端口。① Client1配置。
H3C ACL的应用配置1
weixin_41120428的博客
04-26 2180
SWHC1-acl-ipv4-adv-3000]rule 30 permit ip source 192.168.50.252 0 destination 192.168.70.252 0 //设置一条ID为30的过滤,允许源地址为 192.168.50.252 访问目的地址为192.168.70.252 的设备。高级ACL范围3000-3999:对源IP,目地IP,协议,端口号进行过滤。[SWHC1]acl number 3000 //创建高级ACL 3000。
H3C实验 ACL配置
lixu_349的博客
07-26 2149
ACL2000标准只能是控制源,而acl3000高级模式可以同时控制源和目标地址,所以这里用高级模式。配置步骤:去核心交换机的30接口配置acl,也是禁止网段的交换机的接入端口。1禁止30网段的pc去访问200网段的服务器。
H3C交换机ACL已经配置一个A网段拒绝访问另外一个B网段, 怎么允许A网段访问B网段中一个ip
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
03-17 4066
软件版本:7.1.070 Release 6326。
H3C配置ACL
wanghelove的博客
02-21 2101
Switch-Vlanif20]ip address 192.168.20.1 255.255.255.0 //vlanif接口配置地址。[Switch-Vlanif20]dhcp server dns-list 114.114.114.114 //配置DNS。[Switch-Vlanif20]dhcp select interface //选择基于接口的dhcp类型。
访问控制列表ACL
jier771的博客
02-25 1173
acl简单写法
ACL,及ACL+QOS的区别
lebiewi的博客
12-29 1403
流分类就是通过一些规则(比如什么网段的分成一类)将报文分成一类一类,流行为就是我们已经将报文分类好了,对符合我们预期的报文流,我们应该怎么处理,将类和流行为结合起来就可以合成QOS策略。如果 QoS 策略在定义流分类规则时引用了 ACL,则直接忽略 ACL 规则的动作,以流行为中定义的动作为准,报文匹配只使用 ACL 中的匹配规则部分。2.高级acl,所包含的有源地址,目的地址,源端口,目的端口,协议内容,所以,一般由高级acl所设置的规制,准确性高,所以一般设置在源地址近的端口。
ACL限制
www2394494550的博客
10-23 519
简单acl使用
ACL包过滤实验
最新发布
03-19
<think>嗯,用户问的是如何实现ACL包过滤的实验配置,特别是在网络设备上。首先,我需要回忆一下ACL的基本概念和类型。根据引用[1],ACL分为标准ACL和扩展ACL,编号范围不同,标准是1-99或1300-1999,扩展是100-199或2000-2699。然后,用户可能想知道具体的步骤,比如基本ACL和高级ACL的配置区别。 用户可能在进行网络实验,比如学校或公司的实验环境,需要配置ACL来控制流量。他们可能已经知道ACL的作用,比如包过滤,但需要具体的配置步骤。引用[3]提到了实验需求,包括配置设备IP地址、静态或动态路由,然后应用基本和高级ACL。所以,回答中应该分步骤说明这些配置。 另外,引用[2]提到高级ACL可以更精细地控制,比如协议、端口号,所以需要举例说明如何阻止FTP访问。可能需要结合具体的网络拓扑,比如PCA、PCB这样的设备,配置ACL规则并应用到接口上。 用户可能还需要注意事项,比如ACL的匹配顺序和接口方向。比如,标准ACL一般应用在目标附近的接口,而扩展ACL靠近源。还有,ACL默认拒绝所有,需要明确允许或拒绝的规则。 需要确保回答结构清晰,步骤详细,并且引用相关的引用资料。可能还需要生成相关问题,比如性能分析、优化方法、应用场景等,但根据用户的问题,相关问题应围绕ACL配置展开,比如基本高级的区别、接口方向的影响、配置验证方法等。 最后,检查LaTeX格式是否正确,行内公式用$...$,独立公式用$$...$$,但ACL配置中可能不需要数学公式,所以可能不需要用。不过如果有涉及变量或方程的地方,比如IP地址范围,可能需要用,但这里可能不需要。所以确保按照用户的格式要求,用中文回答,结构清晰,分步骤说明。</think>### ACL包过滤配置实现步骤 #### 一、实验基础准备 1. **网络拓扑搭建** 需明确设备连接关系,例如: - 路由器接口IP地址配置(如$R1:192.168.1.1/24$) - 终端设备IP规划(如PCA:192.168.1.10,PCB:192.168.2.20) - 通过静态路由/动态路由实现全网互通[^3] 2. **ACL类型选择** - **基本ACL**:基于源IP过滤(编号1-99或1300-1999)[^1] - **高级ACL**:基于源/目的IP、协议、端口等(编号100-199或2000-2699)[^2] --- #### 二、基本ACL配置示例(禁止PCA访问其他网段) ```python # 以为设备为例 [R1] acl 2000 # 基本ACL编号范围 [R1-acl-basic-2000] rule deny source 192.168.1.10 0 # 禁止PCA的IP [R1-acl-basic-2000] rule permit # 允许其他流量 [R1-GigabitEthernet0/0/1] traffic-filter inbound acl 2000 # 应用在入方向接口 ``` --- #### 、高级ACL配置示例(禁止PCA访问PCB的FTP) ```python # 高级ACL配置(匹配协议+端口) [R1] acl 3000 [R1-acl-adv-3000] rule deny tcp source 192.168.1.10 0 destination 192.168.2.20 0 destination-port eq 21 # FTP控制端口 [R1-GigabitEthernet0/0/1] traffic-filter outbound acl 3000 # 应用在出方向接口 ``` --- #### 四、关键注意事项 1. **ACL匹配顺序** 默认按规则ID从小到大匹配,建议明确优先级。 2. **接口方向选择** - 基本ACL通常靠近**目标设备接口**应用 - 高级ACL建议靠近**源设备接口**应用[^4] 3. **隐含拒绝规则** ACL默认丢弃未匹配的流量,需通过`rule permit`放行必要流量 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值