一、ACL作用
1.1 随着 Internet的发展和网络应用的增多,IPv4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足的问题,但目前众多的网络设备和网络应用仍是基于IPv4的,因此在IP6广泛应用之前,一些过渡技术的使用是解决这个问题的主要技术手段,网络地址转换技术主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过技术可以将其私网地址转换为公网地址,并且多个私网用户可以共用一个公网地址,这样既可保证网络互通,又节省了公网地址。
1.2 企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定访问控制列表ACL( Access Control list)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
二、ACL--访问控制列表
作用: 数据过滤、流量过滤、匹配感兴趣流(VPN、QoS、NAT、限速)
内容:包含多条ACL语句
ACL语句:条件(人为指定的对象)+动作( permit、deny)
类型
基本ACL编号:2000-2999
高级ACL编号:3000-3999
二层ACL编号:4000-4999检查对象:目的MAC,源MAC,Type,vlan-id
主要针对数据帧结构中的这些字段
DMAC SMAC DIP SIP Dport Sport dATA
DMAC SMAC type TAG (vlan-id ToS) DIP SIP Dport Sport DATA
华为设备ACL默认隐含允许所有
思科设备ACL默认隐含拒绝所有
ACL对本地起源流量不生效,只对穿越的流量生效。
