条件匹配工具之ACL概述

基本概念

ACL，即Access Control List（访问控制列表），每个ACL但是是由单条或多条Rule（规则）组成的一个集合
技能背景：

1.用户需求：

用户对网络服务体验的要求越来越高，这促使网管利用一种可以或许实现过滤、匹配的技能来举行精致的控制和优化网络服务的流量路径，ACL刚刚满足如许的条件
2.安全需求

随着企业或其他构造机构的扩张，其网络规模越来越大，来自网络中的威胁也越来越泛滥。为了掩护内部重要的网络资源不被未授权的流量访问，可以通过定义ACL规则来拒绝那些流量
3.企业内部的访问控制需求

在中大型构造机构中，每个部分之间都会定义访问控制，基于访问控制的最小权限原则，每个部分应只被赋予其工作所需要的一个访问权限，来确保一些敏感信息或私密的网络资源只可以或许被授权人员看到。
ACL的匹配机制：

如图，是为ACL的匹配机制流程图。
可以看到，起首会判定引用的ACL是否存在
然后会判定acl是否存在rule
然后再依照规则编号从第一条Rule开始分析
常用的ACL分类：

简介：

常用的ACL可以分为基本ACL（2000-2999）、高级ACL（3000-3999）
基本ACL：

简介：

基本ACL是一种比较原始的匹配方式，只能通过对源所在的匹配实现流量匹配
设置：

1. acl 2000
2. rule 5 permit source 192.168.1.0 0.0.0.255

复制代码

匹配语句分析：

规则编号5：放行源所在为192.168.1.0/24的流量
但是发现没，我设置里写的掩码是0.0.0.255而不是255.255.255.0
这个叫通配符，可不是ospf里的反掩码，尽管很相似，但是原理不太一样
我们化成二进制来看
正掩码：11111111.11111111.11111111.00000000
通配符：00000000.00000000.00000000.11111111
在通配符的定义中，0表示严酷匹配，1表示宽松匹配，
而反掩码的定义则就是正掩码倒过来写，因此原理是不太一样的
高级ACL：

简介：

高级acl是一种扩展acl，不仅可以或许基于源所在、源端口实现对流量的匹配，也能基于目标所在
、目标端口对流量举行设置，还能并且可以或许同时基于源目IP、源目端口、传输层协议实现一个对流量的精致控制，这五大参数组成起来叫做五元组，且协议必须为传输协议（TCP或UDP），否则不叫做五元组。四元组则是源目IP与源目端口四大参数
设置：

1. acl 3000
2. rule 5 permit tcp source 192.168.1.0 0.0.0.255 source-port eq 1000 destination
3. 192.168.2.0 0.0.0.255 destination-port eq 3000

复制代码

匹配语句分析：

规则编号5：放行通信协议为TCP、源所在为192.168.1.0/24、源端口为1000（eq表示equal，相称、等于）、目标所在为192.168.2.0/24，目标端口为3000的流量
尾声：

那么ACL的内容就到此为止，我们下次再见


免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。