网络基础10--ACL与包过滤

一、ACL 定义与核心功能

ACL（访问控制列表）是通过规则匹配实现数据包过滤或分类的核心技术，广泛应用于包过滤、NAT、QoS、路由策略等场景。其核心由规则条目组成，每条规则包含匹配条件（如源 / 目 IP、端口、协议）和执行动作（Permit/Deny），最终隐含 “拒绝所有” 规则（思科设备）或依赖全局默认策略（华为设备）。

二、工作原理与设备差异

匹配顺序：
- 思科：按规则配置顺序逐条匹配，隐含拒绝所有（Default Deny）。

2.华为 / H3C：支持全局默认策略（默认 Permit），无隐含规则，未匹配规则的数据包按全局策略处理。

2. 接口方向：入方向（In）过滤进入设备的数据包，出方向（Out）过滤离开设备的数据包，每个接口每方向仅支持绑定一条 ACL。

3. 转发流程：思科 IP 转发中，入方向先过滤，出方向后过滤；华为类似，但支持策略路由与 NAT 联动。

三、ACL 分类与配置要点

1.分类

1.ACL按照匹配字段所属的网络层次（三层 /二层）及功能特性进行的分类：

类型	序号范围（华为 / 思科）	匹配字段	典型应用
基本 ACL	2000-2999（华为）/1-99（思科）	仅源 IP	限制网段访问（如 Telnet）
扩展 ACL	3000-3999（华为）/100-199（思科）	五元组（源 / 目 IP、协议、端口）	精细控制（如禁止特定端口）
二层 ACL（MAC）	4000-4999（华为）/700-799（思科）	MAC 地址、以太类型	交换机端口安全

2. ACL 的功能（匹配字段）和配置方式（规则管理特性）进行的分类：

（1）传统标准ACL
分类数据：根据数据包中的源 IP 地址分类数据。
增删改：只能按照质序增加，不能从中间新增，删除一一个规则即册除整条 ACL。
（2）命名标准ACL
分类数据：根据数据包中的源 IP 地址分类数据。
增刑改：每条ACL中的规则都有唯-一序号按照序号从小到大依次匹配，可以按序号新
增，可以单独删除某一条规则。
（3）传统扩展ACL
分类数据：可以根据数据包中的五元组来分类数据（、目IP，协议号，源、目端口）。
增删改：只能按照顺序增加，不能从中间新增，删除-一个规则即删除整条 ACL。

（4）命名扩展ACL
分类数据：可以根据数据包中的五元组来分类数据（源、目IP，协议号，源、目端口）。
增删改:每条 ACL中的规则都有唯一序号。按照序号大小匹配，可以按序号新增。

2.配置关键：

通配符：IP 匹配使用通配符（0 固定，1 可变），如192.168.1.0 0.0.0.255匹配网段。
端口操作符：支持gt(大于)、 eq（等于）、不等于（neq）、小于（lt）、range（范围）等，如range 80 123匹配 80-123 端口。
命名 ACL：支持按序号插入 / 删除规则（如思科默认步长 10（起始10）,华为 / H3C默认步长 5（华为起始5 / H3C起始0）），解决序号 ACL 需整体删除的缺陷。

四、高级应用与典型案例

1. 高级应用：

基于时间的 ACL：
限制上班时间（9:00-18:00）禁止特定网段访问外网，配置示例：
```
time-range off-work  
periodic weekdays 09:00 to 18:00  
access-list 100 deny ip 172.16.1.0 0.0.0.255 any time-range off-work  
```
（绑定接口入方向）。
自反 ACL（单向控制）：
仅允许内网主动访问外网，自动生成回程规则。思科通过established关键字匹配已建立的 TCP 连接，华为需配置reflect动态生成反向规则。

reflect关键字：在出站 ACL 中标记流量，触发自反规则生成（需与evaluate配合使用）。
evaluate关键字：在入站 ACL 中调用自反规则，允许回程流量。

3. 分片处理：

思科默认过滤所有分片，华为支持首片匹配后放行后续分片，避免碎片攻击。

2. 典型案例：

标准ACL应用案例一：只有192.168.1.0-254、192.168.2.0-191能访问192.168.3.0网段，不允许10.0.0.0/8访问本路由器的网段。

标准ACL应用案例二：只有192.168.3.1－254才能Telnet到RT1。

扩展ACL应用案例一：要求192.168.1.192 -255不能访问192.168.2.128 -255。

扩展ACL应用案例二：192.168.1.0网段自动获取IP地址，且只能访问192.168.x.x。

五、配置注意事项

接口绑定位置：标准 ACL 建议近目的端（过滤源 IP），扩展 ACL 近源端（减少冗余流量）。
隐含规则风险：思科未匹配规则默认拒绝，华为需显式配置deny any或依赖全局策略。
日志与排错：启用 ICMP 不可达消息可反馈拒绝原因，但可能泄露信息，需按需开启。

六、总结

ACL 通过规则匹配实现网络细粒度控制，其核心在于理解设备差异（如隐含规则、匹配顺序）、灵活运用通配符与端口操作符，并结合时间、方向等条件实现场景化需求。典型案例包括网段隔离（如 192.168.1.192-255 禁止访问 192.168.2.128-255）、服务限制（仅允许 DNS/80/443 端口）等，需根据设备类型（思科 / 华为）选择对应配置方式。

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如若转载，请注明出处：http://www.pswp.cn/bicheng/89091.shtml
繁体地址，请注明出处：http://hk.pswp.cn/bicheng/89091.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！