Lista de control de acceso a ACL de Huawei (ACL avanzada como ejemplo)
Lista de control de acceso – ACL
ACL es un conjunto de reglas que consta de una o más reglas para el filtrado de paquetes, que se pueden lograr mediante la aplicación de diferentes efectos de aplicación.
La lista de comandos de las interfaces de enrutador y conmutador se utiliza para controlar los paquetes de datos que ingresan y salen del puerto, y coopera con varias aplicaciones (NAT, lista de prefijos de la policía de ruta, etc.) para lograr los efectos correspondientes.
Haga coincidir datos específicos para lograr el control de datos (denegar – denegar, permitir – liberar)
Implementar control de acceso a la red, política de retención de Qos, filtrado de información de enrutamiento, enrutamiento de políticas y muchos otros aspectos.
(1): Dividido según tipo de paquete y función filtrada por ACL.
Acl básica (2000-2999): solo puede coincidir con la dirección IP de origen.
Acl avanzada (3000-3999): puede hacer coincidir la IP de origen, la IP de destino, el puerto de origen, el puerto de destino y otros campos de tres y cuatro capas.
① ACL de interfaz (Nº 1000-----19999)
② ACL básica (Nº 2000-----2999)
③ ACL avanzada (Nº 3000-----3999)
④ ACL de capa 2 (Nº 4000-----4999)
⑤ ACL personalizada (Nº 5000-----3999) ---5999) )
(2): Dividido según el método de nomenclatura
① ACL numérica (la ACL creada es un número)
② ACL nombrada ( dado a la ACL creada Dar un nombre)
Definir la declaración ACL--------》Montaje de interfaz/aplicación-------》La interfaz recibe tráfico que coincide con la declaración ACL- ------ ---》Ejecute la acción de declaración después de que los datos lleguen a la ACL.
(1): una ACL puede estar compuesta por múltiples declaraciones "denegar | permitir", cada declaración describe una regla
permitir: liberar, permitir, capturar/coincidir
negar----negar, filtrar.
(2): Después de recibir el tráfico de datos, el dispositivo coincidirá con las reglas de ACL una por una para ver si coinciden.
Si no hay ninguna coincidencia, coincide con la siguiente. Una vez que se encuentra una regla coincidente, se realiza la acción definida en la regla (permitir o denegar) y las declaraciones posteriores ya no coinciden.
Si no se encuentra ninguna regla coincidente, el dispositivo no procesa el paquete (es decir, se ejecuta prmit any de forma predeterminada y todos se liberan)
Nota: Estas reglas se definen en la ACL puede haber duplicaciones o contradicciones. El orden coincidente de las reglas determina la prioridad de las reglas. ACL maneja la duplicación o contradicción entre reglas estableciendo la prioridad de las reglas
Orden de configuración y clasificación automática
(1) Secuencia de configuración:
La secuencia de configuración coincide en orden ascendente de números de reglas de ACL (ID de reglas).
El dispositivo asignará automáticamente un número (ID de regla) a cada regla durante el proceso de creación de ACL. El número de regla determina el orden en el que coinciden las reglas (el paso predeterminado del número de regla para el. Los enrutadores de la serie ARG3 son 5).
(2) Clasificación automática:
La clasificación automática utiliza el principio de "profundidad primero" para la coincidencia, es decir, ordenar de acuerdo con la precisión de las reglas, las condiciones coincidentes (como el protocolo tipo, rango de direcciones IP de origen y destino, etc.) Cuanto más estrictas sean las restricciones, más precisa será.
Si el orden "profundidad primero" es el mismo, las reglas coincidirán en orden ascendente por número de regla.
regla
(1) Puede haber una o más reglas en una ACL. Cada regla tiene su propio número. El número de regla de cada declaración en una ACL es único. El número representa una declaración y acción de ACL.
(2) El número de regla de ACL (ID de regla) se genera automáticamente de forma predeterminada y también se puede especificar manualmente. Generalmente, ajustamos las reglas de coincidencia de ACL insertando nuevas reglas manualmente.
(3) De forma predeterminada, cada número de regla comienza desde 0 y la regla de crecimiento es en pasos de 5 (modifique el número de paso mediante el comando de paso)