網絡基礎10--ACL與包過濾

一、ACL 定義與核心功能

ACL（訪問控制列表）是通過規則匹配實現數據包過濾或分類的核心技術，廣泛應用于包過濾、NAT、QoS、路由策略等場景。其核心由規則條目組成，每條規則包含匹配條件（如源 / 目 IP、端口、協議）和執行動作（Permit/Deny），最終隱含 “拒絕所有” 規則（思科設備）或依賴全局默認策略（華為設備）。

二、工作原理與設備差異

匹配順序：
- 思科：按規則配置順序逐條匹配，隱含拒絕所有（Default Deny）。

? ? ? ? ? ? ? ?2.華為 / H3C：支持全局默認策略（默認 Permit），無隱含規則，未匹配規則的數據包按全局策略處理。

? ? 2. 接口方向：入方向（In）過濾進入設備的數據包，出方向（Out）過濾離開設備的數據包，每個接口每方向僅支持綁定一條 ACL。

? ? 3. 轉發流程：思科 IP 轉發中，入方向先過濾，出方向后過濾；華為類似，但支持策略路由與?NAT 聯動。

三、ACL 分類與配置要點

1.分類

? ? ? 1.ACL按照匹配字段所屬的網絡層次（三層 /二層）及功能特性進行的分類：

類型	序號范圍（華為 / 思科）	匹配字段	典型應用
基本 ACL	2000-2999（華為）/1-99（思科）	僅源 IP	限制網段訪問（如 Telnet）
擴展 ACL	3000-3999（華為）/100-199（思科）	五元組（源 / 目 IP、協議、端口）	精細控制（如禁止特定端口）
二層 ACL（MAC）	4000-4999（華為）/700-799（思科）	MAC 地址、以太類型	交換機端口安全

? ? ? 2. ACL 的功能（匹配字段）和配置方式（規則管理特性）?進行的分類：

? ? ? （1）傳統標準ACL
分類數據：根據數據包中的源 IP 地址分類數據。
增刪改：只能按照質序增加，不能從中間新增，刪除一一個規則即冊除整條 ACL。
（2）命名標準ACL
分類數據：根據數據包中的源 IP 地址分類數據。
增刑改：每條ACL中的規則都有唯-一序號按照序號從小到大依次匹配，可以按序號新
增，可以單獨刪除某一條規則。
（3）傳統擴展ACL
分類數據：可以根據數據包中的五元組來分類數據（、目IP，協議號，源、目端口）。
增刪改：只能按照順序增加，不能從中間新增，刪除-一個規則即刪除整條 ACL。

? ? ?（4）命名擴展ACL
分類數據：可以根據數據包中的五元組來分類數據（源、目IP，協議號，源、目端口）。
增刪改:每條 ACL中的規則都有唯一序號。按照序號大小匹配，可以按序號新增。

2.配置關鍵：

通配符：IP 匹配使用通配符（0 固定，1 可變），如192.168.1.0?0.0.0.255匹配網段。
端口操作符：支持gt(大于)、 eq（等于）、不等于（neq）、小于（lt）、range（范圍）等，如range 80 123匹配 80-123 端口。
命名 ACL：支持按序號插入 / 刪除規則（如思科默認步長 10（起始10）,華為 / H3C默認步長 5（華為起始5 / H3C起始0）），解決序號 ACL 需整體刪除的缺陷。

四、高級應用與典型案例

1.?高級應用：

基于時間的 ACL：
限制上班時間（9:00-18:00）禁止特定網段訪問外網，配置示例：
```
time-range off-work  
periodic weekdays 09:00 to 18:00  
access-list 100 deny ip 172.16.1.0 0.0.0.255 any time-range off-work  
```
（綁定接口入方向）。
自反 ACL（單向控制）：
僅允許內網主動訪問外網，自動生成回程規則。思科通過established關鍵字匹配已建立的 TCP 連接，華為需配置reflect動態生成反向規則。

reflect關鍵字：在出站 ACL 中標記流量，觸發自反規則生成（需與evaluate配合使用）。
evaluate關鍵字：在入站 ACL 中調用自反規則，允許回程流量。

? ? ? 3. 分片處理：

? ? ? ? ? 思科默認過濾所有分片，華為支持首片匹配后放行后續分片，避免碎片攻擊。

2. 典型案例：? ?

? ? ? 標準ACL應用案例一：只有192.168.1.0-254、192.168.2.0-191能訪問192.168.3.0網段，不允許10.0.0.0/8訪問本路由器的網段。

? ? ? 標準ACL應用案例二：只有192.168.3.1－254才能Telnet到RT1。

? ? ? ? ?擴展ACL應用案例一：要求192.168.1.192 -255不能訪問192.168.2.128 -255。

? ? ? ? 擴展ACL應用案例二：192.168.1.0網段自動獲取IP地址，且只能訪問192.168.x.x。

五、配置注意事項

接口綁定位置：標準 ACL 建議近目的端（過濾源 IP），擴展 ACL 近源端（減少冗余流量）。
隱含規則風險：思科未匹配規則默認拒絕，華為需顯式配置deny any或依賴全局策略。
日志與排錯：啟用 ICMP 不可達消息可反饋拒絕原因，但可能泄露信息，需按需開啟。

六、總結

? ? ? ? ACL 通過規則匹配實現網絡細粒度控制，其核心在于理解設備差異（如隱含規則、匹配順序）、靈活運用通配符與端口操作符，并結合時間、方向等條件實現場景化需求。典型案例包括網段隔離（如 192.168.1.192-255 禁止訪問 192.168.2.128-255）、服務限制（僅允許 DNS/80/443 端口）等，需根據設備類型（思科 / 華為）選擇對應配置方式。

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/bicheng/89091.shtml
繁體地址，請注明出處：http://hk.pswp.cn/bicheng/89091.shtml
英文地址，請注明出處：http://en.pswp.cn/bicheng/89091.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！