任何网络系统在创造价值的同时,对安全性也有很高的要求。ACL(网络层访问控制列表)其实可以帮助企业实现网络安全策略,可以说ACL是一个很不错的解决工具或方案。

  那什么是ACL呢?为了帮助企业网络运维人员深入理解ACL,可以根据以下几点看透ACL本质。

  一、从名称解析ACL

  ACL:Acess Control List,即访问控制列表。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。

  信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。

  二、看透ACL的本质

  通常,很多企业都在使用NAT技术进行地址转换,而NAT技术中就包含了ACL的应用。通过ACL,我们可以控制哪些私有地址能上外网(公网),哪些不能。然后把这些过滤好的数据,进行NAT转换。另外,企业也需要对服务器的资源访问进行控制,通过ACL过滤出哪些用户不能访问,哪些用户能访问。

  从实际应用中,我们看到ACL能够区分不同的数据流。这也意味着ACL的本质其实是一种流量分类技术,它是人为定义的一组或几组规则,目的是通过网络设备对数据流分类,以便执行用户规定的动作。换句话说,ACL本身不能直接达到访问控制的目的,它间接辅助特定的用户策略,达到人们所需效果的一种技术手段。在笔者看来,ACL是一种辅助型的技术或者说是工具。

  三、玩转基本的ACL

  拓扑描述:某企业有100个信息点,分属五个部门。用一台二层交换机和一台路由器作为网络层设备;局域网内部有一台OA服务器。

  组网需求:五个部门分属5个VLAN,VLAN间不能互通。要求所有终端都可以上公网,并访问OA服务器。

  也就是说,有两个需求:

  1、5个部门的终端不能互相通讯

  2、5个部门都要求能够访问OA SERVER和公网。

  根据这两种实际需求,怎么用ACL实现呢?

  以Cisco路由器为例,在全局模式下进行如下配置:

  access-list 100 permit ip any host OA的ip

  access-list 100 deny ip any ip网络号 通配符

  access-list 100 permit ip any any

  然后在相应的子接口下绑定:

  ip access-group 100 in

  命令解释:第一条就是允许OA服务器上的数据进入,第二条就是拒绝其它四个部门的数据流进入,第三条是允许所有流量进入,然后最后在相应接口绑定并启用放通或丢弃的操作

我们配置ACL都有几个配置原则,细化优先原则和最长匹配原则,不同的配置顺序影响不同的执行效果。通常都是按一个汇总的原则进行规划IP地址,所以第二条后面的IP网络号代表的是其它VLAN的子网汇总网络号。一般来说,思科的ACL最后都默认隐藏了一条deny 所有的语句,所以必须人为添加一条permit语句。

  在边界路由器上配置上述的命令,就能满足需求了,当然还需要和其他配置命令相结合使用,比如划分VLAN,配置路由协议等。但无论是怎样的需求,只要记住ACL的核心,它是一种流量分类技术,可以用特定的方式标记和分类网络中的流量,配合其它操作策略一起完成某项任务。只要明白这点,我们就能够玩好基本的ACL了。

转载于:https://www.cnblogs.com/Lisa-Suncy/archive/2011/05/03/2035315.html

轻松学习理解ACL访问控制列表(转)相关推荐

  1. 华为ENAP模拟网络ACL访问控制列表

    学习目标: 1.掌握二层及三层网络基本配置 2.掌握ACL基本配置 3.掌握ACL策略使用 学习内容: 一.什么是ACL? 首先我们来了解下ACL,ACL即访问控制列表,那么它有什么作用呢? (ACL ...

  2. ccna第十一课 ACL访问控制列表

    ACL访问控制列表,应用于接口控制网络规则及流量.一个接口的一个方向只能应用一个控制列表 标准控制列表(序号1-99)主要是根据源ip地址进行控制 扩展控制列表(序号100-199)基于源和目的地址. ...

  3. ACL访问控制列表(访问控制、抓取感兴趣流)详解及基本ACL和高级ACL的配置。

    ACL --- 访问控制列表 1. 访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作.(pemit 允许,deny 拒绝) 2. 抓取感兴趣流:ACL的另一个作用就是和其他服务 ...

  4. ensp ACL访问控制列表配置

    访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用 ...

  5. ensp配置ACL访问控制列表

    简介:访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地 ...

  6. 三层交换技术 ACL访问控制列表

    华为模拟器 计算机网络 三层交换技术 ACL访问控制列表 访问控制列表(ACL):是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应 ...

  7. HCIA笔记-----ACL访问控制列表

    ACL 访问控制列表 功能: 1.访问限制 ----在路由器流量进或出的接口上匹配流量,之后对其进行限制 2.定义感兴趣流量 ACL 简介: 1.自上而下,逐一匹配,上条匹配按上条执行,不在查看下条 ...

  8. HCIA 第七天 ACL访问控制列表

    文章目录 ACL 访问控制列表 标准ACL 扩展ACL telnet 远程登录 ACL 访问控制列表 访问限制:在路由器流量进或出的接口上匹配流量,之后对其进行控制 定义感兴趣流量 匹配规则 自上而下 ...

  9. ACL访问控制列表(详细配置教程)

    文章目录 什么是ACL ACL分类 匹配规则 工作原理 ACL配置指南 配置实例 配置ACL列表(拓展ACL) 标准访问列表 删除ACL列表 什么是ACL 访问控制列表(Access Control ...

  10. ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。

    目录 ACL的组成: 创建ACL访问控制列表的两种的方式: 1.数字命名: 2.字符串命名方式: ACL创建步骤: 1.先创建ACL列表: 进入acl列表: 2.配置ACL的一条条规则: 3.进入需要 ...

最新文章

  1. 基于javaGUI的文档识别工具制作
  2. 【廖雪峰python入门笔记】列表生成式
  3. Android Jetpack 组件之 Lifecycle源码
  4. python gdbt+fm_GBDT回归的原理及Python实现
  5. python入门教程2word-使用python操作word
  6. python教程下载视频-python怎么下载视频
  7. JavaScript中delete运算符
  8. 47 求1+2+3+4+...+n
  9. 5 Handler与子线程
  10. java.util.Date与 java.sql.Date两个包下Date的区别与联系
  11. 图解Android 内存分析工具之Mat使用教程
  12. GitChat · 前端 | Vue 组件库实践和设计
  13. POJ 2991 Crane
  14. 开关电源入门1-基本原理
  15. 最简单的Rest服务
  16. 微信开发者文档学习笔记(一)
  17. 本地项目文件上传到码云的全过程(附每个步骤详细插图)
  18. 调研14国,芒鞋踏破,这位大学教授给区块链从业者如下建议
  19. Excel批量修改数据透视表值字段设置
  20. 数据质量第一步—数据监控

热门文章

  1. python 批量gif转tif_使用Python 批量转移*.tif和*.mov文件
  2. 多个pdf合并成一个pdf_多个PDF怎么合并?这些PDF合并方法很简单!
  3. docker run -di -p 日志_docker随手笔记第十一节 portainer.io安装使用,比k8s简单
  4. dimp是什么意思_单目标追踪论文阅读系列(八)——《DIMP(ICCV2019)》
  5. 大连理工大学计算机视觉实验室,首个镜子分割网络问世,大连理工、鹏城实验室、香港城大出品 | ICCV 2019...
  6. python无法启动此程序因为_(python shell怎么用)为啥我按照python安装教程,总说无法启动此程序,因为计算机中丢失?...
  7. [Python设计模式] 第25章 联合国维护世界和平——中介者模式
  8. Python学习笔记—Dict和set
  9. 去掉tomcat日志localhost_access_log修改去掉文件名日期
  10. iOS APP 逆向安全杂谈之三