一、拓展ACL概述
在网络设备中,拓展ACL是指能够在数据包转发时匹配多种不同的网络特性,从而更精确地控制对网络流量的过滤。而ipaccess-listextended就是其中最常用的一种ACL类型。
二、拓展ACL规则语法
针对ipaccess-listextended,以下是其规则语法:
ip access-list extended ACL名称 访问规则 访问类型 protocol 协议名字(选填) source 源网络地址/掩码 源端口(选填) destination 目标网络地址/掩码 目标端口(选填) 访问规则 访问类型 protocol 协议名字(选填) source 源网络地址/掩码 源端口(选填) destination 目标网络地址/掩码 目标端口(选填) …… ip access-list extended ACL名称 deny any any 否定规则
其中,ACL名称是该ACL类型的唯一标识名称,访问规则是指对于匹配的网络流量,是允许(permit)还是禁止(deny)通过访问类型中指定的服务,否定规则是指若未匹配到任何规则时使用的默认规则。
三、匹配IP地址和端口
在拓展ACL中最基本的匹配规则就是根据源和目标IP地址来过滤特定网络流量。实现这一目的的方法是通过wildcard掩码实现匹配。示例如下:
ip access-list extended ALLOW-FTP permit tcp any 172.30.1.0 0.0.0.255 eq ftp deny ip any any
上述示例表示允许从任意地址的TCP连接的流量都将被允许,且源IP地址属于172.30.1.0/24之间的连接将在目的端口是FTP(端口号21)的情况下被允许。若未匹配到指定的访问规则,则该流量将被默认拒绝。
四、使用ACL名称
一般而言,管理员都会创建很多ACL规则,在网络设备上一次性输入所有规则显然是不切实际的。毕竟,一大堆的书写和维护规则的工作需要花费很多的时间和精力。
这时,使用ACL名称的方法就显得特别重要了。操作方法如下:
ip access-list extended ALLOW-FTP permit tcp any 172.30.1.0 0.0.0.255 eq ftp deny ip any any interface gigabitEthernet 0/0 ip access-group ALLOW-FTP in
上述示例表示,我们已经创建了一个名为“ALLOW-FTP”的ACL规则,并将其应用到了GigabitEthernet 0/0的入口端口中。在实现企业内统一管理的情况下,可以使用ACL名称的方法将同一名称的ACL规则应用到多个端口上。
五、细化匹配
IP地址仅仅是对网络拓扑进行基本过滤,但在实际应用中,我们往往面临更加复杂的情况。比如,针对特定IP地址、特定时间段、特定端口的拦截。怎样更加细化精确地匹配网络流量呢?这时,我们可以使用拓展ACL提供的更多选项来进行匹配。
以MAC地址为例,我们可以针对其填写相应的选项,对网络流量进行匹配,示例如下:
ip access-list extended MAC-ADDRESS-ACL permit ip any host 192.168.1.1 mac 0800.27F5.7047 deny ip any any
上述示例表示针对源IP地址是任意地址,目标IP地址是192.168.1.1的流量使用MAC地址进行匹配,MAC地址为0800.27F5.7047。若未匹配到指定的访问规则,则该流量将被默认拒绝。
结语
通过本文,我们详细了解了拓展ACL的基本概念和规则语法,同时也学习了一些应用实例。希望通过本文的介绍,大家能对拓展ACL的编写与应用有更加深入全面的理解。
原创文章,作者:ATND,如若转载,请注明出处:https://www.506064.com/n/134294.html
微信扫一扫 
支付宝扫一扫 