网络基础10--ACL与包过滤
一、ACL 定义与核心功能
ACL(访问控制列表)是通过规则匹配实现数据包过滤或分类的核心技术,广泛应用于包过滤、NAT、QoS、路由策略等场景。其核心由规则条目组成,每条规则包含匹配条件(如源 / 目 IP、端口、协议)和执行动作(Permit/Deny),最终隐含 “拒绝所有” 规则(思科设备)或依赖全局默认策略(华为设备)。
二、工作原理与设备差异
匹配顺序:
- 思科:按规则配置顺序逐条匹配,隐含拒绝所有(Default Deny)。
2.华为 / H3C:支持全局默认策略(默认 Permit),无隐含规则,未匹配规则的数据包按全局策略处理。
2. 接口方向:入方向(In)过滤进入设备的数据包,出方向(Out)过滤离开设备的数据包,每个接口每方向仅支持绑定一条 ACL。
3. 转发流程:思科 IP 转发中,入方向先过滤,出方向后过滤;华为类似,但支持策略路由与 NAT 联动。
三、ACL 分类与配置要点
1.分类
1.ACL按照匹配字段所属的网络层次(三层 /二层 )及功能特性进行的分类:
| 类型 | 序号范围(华为 / 思科) | 匹配字段 | 典型应用 |
|---|---|---|---|
| 基本 ACL | 2000-2999(华为)/1-99(思科) | 仅源 IP | 限制网段访问(如 Telnet) |
| 扩展 ACL | 3000-3999(华为)/100-199(思科) | 五元组(源 / 目 IP、协议、端口) | 精细控制(如禁止特定端口) |
| 二层 ACL(MAC) | 4000-4999(华为)/700-799(思科) | MAC 地址、以太类型 | 交换机端口安全 |
2. ACL 的功能(匹配字段)和配置方式(规则管理特性) 进行的分类:
(1)传统标准ACL
分类数据:根据数据包中的源 IP 地址分类数据。
增删改:只能按照质序增加,不能从中间新增,删除一一个规则即册除整条 ACL。
(2)命名标准ACL
分类数据:根据数据包中的源 IP 地址分类数据。
增刑改:每条ACL中的规则都有唯-一序号按照序号从小到大依次匹配,可以按序号新
增,可以单独删除某一条规则。
(3)传统扩展ACL
分类数据:可以根据数据包中的五元组来分类数据(、目IP,协议号,源、目端口)。
增删改:只能按照顺序增加,不能从中间新增,删除-一个规则即删除整条 ACL。
(4)命名扩展ACL
分类数据:可以根据数据包中的五元组来分类数据(源、目IP,协议号,源、目端口)。
增删改:每条 ACL中的规则都有唯一序号。按照序号大小匹配,可以按序号新增。
2.配置关键:
通配符:IP 匹配使用通配符(0 固定,1 可变),如
192.168.1.0 0.0.0.255匹配网段。端口操作符:支持gt(大于)、 eq(等于)、不等于(neq)、小于(lt)、range(范围)等,如
range 80 123匹配 80-123 端口。命名 ACL:支持按序号插入 / 删除规则(如思科默认步长 10(起始10),华为 / H3C默认步长 5(华为起始5 / H3C起始0)),解决序号 ACL 需整体删除的缺陷。
四、高级应用与典型案例
1. 高级应用:
基于时间的 ACL:
限制上班时间(9:00-18:00)禁止特定网段访问外网,配置示例:time-range off-work periodic weekdays 09:00 to 18:00 access-list 100 deny ip 172.16.1.0 0.0.0.255 any time-range off-work(绑定接口入方向)。
自反 ACL(单向控制):
仅允许内网主动访问外网,自动生成回程规则。思科通过established关键字匹配已建立的 TCP 连接,华为需配置reflect动态生成反向规则。
reflect关键字:在出站 ACL 中标记流量,触发自反规则生成(需与evaluate配合使用)。evaluate关键字:在入站 ACL 中调用自反规则,允许回程流量。
3. 分片处理:
思科默认过滤所有分片,华为支持首片匹配后放行后续分片,避免碎片攻击。
2. 典型案例:
标准ACL应用案例一:只有192.168.1.0-254、192.168.2.0-191能访问192.168.3.0网段,不允许10.0.0.0/8访问本路由器的网段。
标准ACL应用案例二:只有192.168.3.1-254才能Telnet到RT1。
扩展ACL应用案例一:要求192.168.1.192 -255不能访问192.168.2.128 -255。
扩展ACL应用案例二:192.168.1.0网段自动获取IP地址,且只能访问192.168.x.x。
五、配置注意事项
接口绑定位置:标准 ACL 建议近目的端(过滤源 IP),扩展 ACL 近源端(减少冗余流量)。
隐含规则风险:思科未匹配规则默认拒绝,华为需显式配置
deny any或依赖全局策略。日志与排错:启用 ICMP 不可达消息可反馈拒绝原因,但可能泄露信息,需按需开启。
六、总结
ACL 通过规则匹配实现网络细粒度控制,其核心在于理解设备差异(如隐含规则、匹配顺序)、灵活运用通配符与端口操作符,并结合时间、方向等条件实现场景化需求。典型案例包括网段隔离(如 192.168.1.192-255 禁止访问 192.168.2.128-255)、服务限制(仅允许 DNS/80/443 端口)等,需根据设备类型(思科 / 华为)选择对应配置方式。