首页 > 代码库 > Access Control List
Access Control List
ACL最基本的形式是:针对特定的协议类型和端口组合,permit或deny来自和/或去往一个主机的流量。
状态化防火墙过滤的对象是单向数据流(flow)或数据流(stream),一台状态化的防火墙会以入站流量与所定义的策略相比较,如果流量被允许,就创建一条连接记录,属于该连接的后续数据包会自动放行,无需再次比较。
由于ACL的无状态化带来的高效性,非常适合于部署在防火墙身前来执行边界过滤,或保护网络基础设施本身。
利用ACL保护基础设施:
为了防止交换机或路由器免于偶然或蓄意的种种风险,需要在网络的进入点部署基础设施保护ACL。这些ACL拒绝从外部源到所有网络基础设施地址(如路由器接口)的访问。与此同时,还能允许合法的穿越流量畅通无阻地通过网络基础设施。
任何一台交换机或路由器所接收的数据都可划分为以下两大类别:
穿过交换机或路由器的流量
去往交换机或路由器自身的流量
因为交换机和路由器的控制平面的流量是由CPU来处理的,所以很容易造成控制平面的DoS攻击。因此需要对外部源到网络基础设施的访问过滤。
一个常见的边界入口ACL:
三种类型的ACL:
路由器ACL(RACL):被应用在路由接口上的基于IP的ACL
VLAN ACL(VACL):作用于VLAN间或VLAN内的流量,它在全局配置模式下被应用在一个给定VLAN的所有端口上。它可以按第二层的标准(MAC地址)以及第三层和第四层的参数进行过滤。
基于端口的ACL(PACL):等同于被应用在一个VLAN内的单个端口上的VACL。
RACL | VACL | PACL |
允许或拒绝流量在三层子网之间的流动 | 允许或拒绝流量在三层子网/VLAN之间或在一个VLAN内的流动 | 允许或拒绝流量在三层子网/VLAN之间或在一个VLAN内的流动 |
作为一个输入或输出策略被应用在第三层接口上 | 作为一个策略被应用到VLAN接口上,与生俱来地被同时作用于出站和入站流量 | 作为一个策略被应用到第二层交换机端口上,仅仅被作用于入站流量 |
使用RACL
RACL作用于被交换机路由的流量。可以在SVI或第三层物理接口上应用RACL。
SVI接口就是配置了一个IP地址的某VLAN的内部接口,VLAN内的主机可以利用SVI接口走出该VLAN。
使用VACL
VACL有过滤位于相同VLAN内主机之间的流量的能力,VACL同样作用于IP和非IP流量。
与VACL相反,RACL不能匹配VLAN内的流量,这是因为在同一VLAN内主机间的流量根本不会经路由接口发送。
因为SVI是无方向的,所以VACL也是无方向的。也就是说,VACL同时匹配进入一个VLAN和从同一个VLAN外出的流量。
可以在一个给定的VLAN上结合使用RACL和VACL。这种组合可以灵活地同时控制VLAN内被桥接的流量以及VLAN外被路由的流量。
注意:VACL基本上与RACL遵循相同的格式,只是它们的操作原理存在差异。
使用PACL
可以被映射到某VLAN内的一个物理端口上。一个VLAN通常由多个物理端口组成,PACL在一个特定的物理端口上提供了更具粒度的流量过滤功能。可以将其视为基于端口的VACL。与VACL相同,PACL同时作用于在第二层和第三层被转发的数据包。
PACL优先于VACL,VACL优先于RACL。
配置方法:
RACL:
1.用ip access-list匹配流量
2.在SVI或路由接口上调用
VACL:
1.用ip access-list或mac access-list匹配流量
2.用vlan access-map做策略
3.vlan filter设置调用此策略的vlan
4.clear arp-cache,清ARP表
PACL:
1.用ip access-list或mac access-list匹配流量
2.在端口上调用(只有IN)
为了与大型LAN网络中的流量容量的需求相适应,绝大多数LAN交换机的硬件体系结构都依赖于ASIC或特有的内存结构和电路。这种技术的一个示例就是Cisco TCAM。
有几种交换机还附带了选项功能,除了标配的“permit/deny”动作之外,还可对数据包执行更多操作。例如,对LAN交换机来说颇为常见的就是:有能力去捕获匹配一个ACL的流量,并将这些流量送达流量分析仪所驻留的“捕获端口”(capture port)。另外一种类型的动作包括将匹配流量从其流入端口重定向到另外一个端口。
Access Control List