一、拓展ACL概述
在網絡設備中,拓展ACL是指能夠在數據包轉發時匹配多種不同的網絡特性,從而更精確地控制對網絡流量的過濾。而ipaccess-listextended就是其中最常用的一種ACL類型。
二、拓展ACL規則語法
針對ipaccess-listextended,以下是其規則語法:
ip access-list extended ACL名稱 訪問規則 訪問類型 protocol 協議名字(選填) source 源網絡地址/掩碼 源端口(選填) destination 目標網絡地址/掩碼 目標端口(選填) 訪問規則 訪問類型 protocol 協議名字(選填) source 源網絡地址/掩碼 源端口(選填) destination 目標網絡地址/掩碼 目標端口(選填) …… ip access-list extended ACL名稱 deny any any 否定規則
其中,ACL名稱是該ACL類型的唯一標識名稱,訪問規則是指對於匹配的網絡流量,是允許(permit)還是禁止(deny)通過訪問類型中指定的服務,否定規則是指若未匹配到任何規則時使用的默認規則。
三、匹配IP地址和端口
在拓展ACL中最基本的匹配規則就是根據源和目標IP地址來過濾特定網絡流量。實現這一目的的方法是通過wildcard掩碼實現匹配。示例如下:
ip access-list extended ALLOW-FTP permit tcp any 172.30.1.0 0.0.0.255 eq ftp deny ip any any
上述示例表示允許從任意地址的TCP連接的流量都將被允許,且源IP地址屬於172.30.1.0/24之間的連接將在目的端口是FTP(端口號21)的情況下被允許。若未匹配到指定的訪問規則,則該流量將被默認拒絕。
四、使用ACL名稱
一般而言,管理員都會創建很多ACL規則,在網絡設備上一次性輸入所有規則顯然是不切實際的。畢竟,一大堆的書寫和維護規則的工作需要花費很多的時間和精力。
這時,使用ACL名稱的方法就顯得特別重要了。操作方法如下:
ip access-list extended ALLOW-FTP permit tcp any 172.30.1.0 0.0.0.255 eq ftp deny ip any any interface gigabitEthernet 0/0 ip access-group ALLOW-FTP in
上述示例表示,我們已經創建了一個名為“ALLOW-FTP”的ACL規則,並將其應用到了GigabitEthernet 0/0的入口端口中。在實現企業內統一管理的情況下,可以使用ACL名稱的方法將同一名稱的ACL規則應用到多個端口上。
五、細化匹配
IP地址僅僅是對網絡拓撲進行基本過濾,但在實際應用中,我們往往面臨更加複雜的情況。比如,針對特定IP地址、特定時間段、特定端口的攔截。怎樣更加細化精確地匹配網絡流量呢?這時,我們可以使用拓展ACL提供的更多選項來進行匹配。
以MAC地址為例,我們可以針對其填寫相應的選項,對網絡流量進行匹配,示例如下:
ip access-list extended MAC-ADDRESS-ACL permit ip any host 192.168.1.1 mac 0800.27F5.7047 deny ip any any
上述示例表示針對源IP地址是任意地址,目標IP地址是192.168.1.1的流量使用MAC地址進行匹配,MAC地址為0800.27F5.7047。若未匹配到指定的訪問規則,則該流量將被默認拒絕。
結語
通過本文,我們詳細了解了拓展ACL的基本概念和規則語法,同時也學習了一些應用實例。希望通過本文的介紹,大家能對拓展ACL的編寫與應用有更加深入全面的理解。
原創文章,作者:ATND,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/134294.html
微信掃一掃 
支付寶掃一掃 