acl

ACL访问控制列表 作用：1、控制数据流量 2、抓取感兴趣流量 访问控制：当流量在路由器上的各个接口，进入或离开时，ACL对流量进行匹配，之后产生动态—允许或拒绝 【1】分类：标准ACL 扩展ACL 标准ACL：检查数据源IP地址 扩展ACL：检查数据协议、源目IP地址 （上层协议） ACL是一张表 每张ACL可包含多个条目 每个条目需要做permit/deny动作 允许 拒绝 【2】写法： 1、编号写法： 1-99 标准 100-199 扩展 一个编号为一张表 删除一条，整表消失 2、命名写法： 一个名字为一张表 可以使用序号随意的删除或插入 【3】匹配规则 从上向下匹配 一旦匹配不再向下查询 且每张ACL末尾存在隐藏拒绝所有 方向：in/out 【4】调用规则：尽早的进行策略，避免流量在网络无谓的传输；千万不能误删掉不限制的流量； 标准ACL使用位置 在最靠近目标的接口上调用 扩展ACL使用位置 在最靠近源的接口上调用 注：cisco ACL不检查本地数据流量 配置 编号写法： 【1】标准ACL配置 R2(config)#access-list 1 deny 1.1.1.1 R2(config)#access-list 1 deny host 1.1.1.1 R2(config)#access-list 1 deny 1.1.1.0 0.0.0.255 通配符作用跟反掩码一样

命名访问控制列表可灵活的调整策略,前提是在标准访问列表以及扩展访问列表的基础上,可以使用no+ACL号删除策略.也可以使用ACL号+permit+ip追加ACL策略 实验环境 一台二层交换机 一台三层交换机 四台pc机 实验需求 允许vlan10中pc2可以访问pc1 拒绝vlan10中其他访问pc1 允许其他网段中的主机访问pc1 实验拓扑图 1，配置sw二层交换机 sw#conf t ##全局模式 sw(config)#vlan 10,20 ##创建vlan10，20 sw(config-vlan)#ex sw(config)#do show vlan-sw b ##查看vlan sw(config)#int range fa1/1 -2 ##进入接口f1/1和f1/2 sw(config-if-range)#sw mo acc ##创建接入链路 sw(config-if-range)#sw acc vlan 10 ##将接口放到vlan10中 sw(config-if-range)#ex sw(config)#int f1/3 ##进入f1/3接口，创建接入链路放到vlan20中 sw(config-if)#sw mo acc sw(config-if)#sw acc vlan 20 sw(config-if)#int f1/0 ##进入f1/0中创建trunk链路 sw

对流量行为的控制需求分析 1.控制网络流量可达性 路由策略 通过修改路由条目（即对接收和发布的路由进行过滤）来控制流量可达性，这种方式称为路由策略 ACL :抓取路由、数据包 访问控制列表ACL（Access Control List）是由一系列规则组成的集合，ACL通过这些规则对报文进行分类，从而使设备可以对不同类报文进行不同的处理。ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器，在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 目的 网络中的设备相互通信时，需要保障网络传输的安全可靠和性能稳定。例如： 防止对网络的攻击，例如IP（Internet Protocol）报文、TCP（Transmission Control Protocol）报文、ICMP（Internet Control Message Protocol）报文的攻击。 对网络访问行为进行控制，例如企业网中内、外网的通信，用户访问特定网络资源的控制，特定时间段内允许对网络的访问。 限制网络流量和提高网络性能，例如限定网络上行、下行流量的带宽，对用户申请的带宽进行收费，保证高带宽网络资源的充分利用。 隐式允许 必须使用反掩码；正掩码：必须是连续的1。反掩码：可以不连续。 缺点 ：ACL的掩码是定长的。 分类 适用的IP版本

ACL 策略插件 策略分组规则： 1). 为用户分配授权策略组 2). 为 api 添加授权策略分组插件。 3). 只有拥有 api 授权策略分组的用户才可以调用该 api 。 4). 授权策略分组，必须建立在认证机制上，该策略生效的前提， api 至少要开启任意一个 auth 认证插件。 使用教程： 1. 创建一个 ACL 插件 如图，创建的分组，设置白名单 open ，黑名单 dev-test ，同时将这个插件应用到 testACL 这个 api 上。 2. 反向验证 由于 ACL 必须和认证插件配合生效，我们选用基本认证 basic-auth + ACL 组合进行验证。 上一节基本认证 已经创建了 basic-auth 用户和秘钥： username=csOfBasic ， password=testkongpwd 。 我们使用上一节 basic-auth 创建的 consumer 进行访问： basic-auth 用户和秘钥： username=csOfBasic ， password=testkongpwd 返回消息： {"message":"You cannot consume this service"} 用户是合法用户 ( 已经通过了 basic-auth 认证 ) ，但没有权限访问 testBasicAuth （ http://10.110.2.3:8000

Linux中是有自己的权限系统的，比如常用的755,655这样的权限。如果需要满足更高级的权限，比如我们需要让/root/test.file这个文件可以被一个普通账号test有所有权限的话，可以单独设置具体的权限，这里需要应用到ACL的权限策略。在Linux的2.6内核版本中已经自带了ACL的安全策略如果想要启用的话非常简单。 vi /etc/fstab 可以看到基本的磁盘分区表，如： LABEL=/ / ext3 defaults,acl 1 1 我们可以将/目录加入ACL策略如图所示，修改完成后重启服务器。 这样的/目录就启用了ACL的安全策略 下面是设置/root/test.file文件，赋予test用户rwx权限 setfacl -m u:test:rwx test.file 这里的u代表用户，g代表组 test代表用户 rwx代表赋予的权限 test.file是文件名 getfacl test.file 可以看到如下： # file: test.file # owner: root 所属用户 # group: root 所属组 user::rw- 所属用户权限 user:test:rwx 所属特定用户test的权限 group::r-- 所属特定组的权限 mask::rwx mask权限计算掩码，如果mask为r 表示无论权限设置为多少，最大只能是r other::r-

关于路由策略： 在控制层面抓取流量后，对流量进行修改，之后影响路由器路由表的生成，最终干涉选路； 【1】抓控制层面流量： ① ACL —设计用于干涉数据层面流量，兼用抓取控制层面流量–不能精确匹配; 注：只能抓取网络号，不能精确匹配； eg：有两条路由：192.168.1.0/24 192.168.1.0/128，网络号一致，但只能抓取到192.168.1.0/24 1、访问控制-----在路由器上流量进或出的接口上规则流量； 2、定义感兴趣流量 —为其他的策略取匹配流量 访问控制：定义ACL列表后，将列表调用于路由器的接口上，当流量通过接口时，进行匹配，匹配成功后按照设定好的动作进行处理即可-----动作–允许、拒绝 匹配规则：至上而下逐一匹配，上条匹配按上条执行，不再查看下条；末尾隐含拒绝所有； 分类：1、标准ACL–仅关注数据包中的源ip地址 2、扩展ACL–关注数据包中源、目标ip地址、目标端口号、协议号 写法：编号写法 1-99 标准 100-199 扩展 删除一条整表消失 命名写法 一个名字一张列表 可以随意删除某条， 配置： 标准ACL—编号：由于标准ACL仅关注数据包中的源ip地址，调用时尽量的靠近目标，避免误删； Router(config)#access-list 1 deny host 192.168.4.2 拒绝单一设备 Router(config)

策略路由基础 “路由策略”（ Routing Policy ， RP ）与“策略路由”（ Policy-BasedRouting ， PBR ）有着本质上的区别。“路由策略”中的“路由”是名词，而“策略”是动词， 操作对象是路由信息 。“路由策略”主要用来实现路由表中的路由过滤和路由属性设置等功能。它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。而“策略路由”中的“策略”是名词，“路由”却变成了动词，是基于策略的路由（这里的“路由”也是动词）， 操作对象是数据报文，是在 路由表已经产生 的情况下，不按照路由表进行转发，而是根据需要按照某种策略改变数据报文转发路径 。 一、策略路由概述 传统的路由转发原理是首先根据报文的目的地址查找路由表，然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。策略路由正是这样一种可依据用户制定的策略进行报文路由选路的机制。策略路由可使网络管理者不仅能够根据报文的目的地址，而且能够根据报文的源地址、报文大小和链路质量等属性来制定策略路由，以改变报文转发路径，满足用户需求。 策略路由具有如下优点： ①可以根据用户实际需求制定策略进行路由选择，增强路由选择的灵活性和可控性 ②可以使不同的数据流通过不同的链路进行发送，提高链路的利用效率。 ③在满足业务服务质量的前提下

A –--- B 两台路由器通过E1/1接口直联，运行OSPF。 A路由器配置3条静态路由： ip route 7.0.0.0 255.0.0.0 Ethernet1/1 ip route 8.0.0.0 255.0.0.0 Ethernet1/1 ip route 9.0.0.0 255.0.0.0 Ethernet1/1 A路由器ospf的配置如下： router ospf 1 log-adjacency-changes redistribute static route-map test network 0.0.0.0 255.255.255.255 area 1 1） 在A路由器上，不配置任何ACL，只配置RouteMap，配置如下： route-map test permit 10 match ip address 1 此时ACL 1是一张空表。 配置完成之后过几秒钟，在B路由器上查看OSPF的路由表，如下： Link ID ADV Router Age Seq# Checksum Tag 7.0.0.0 192.168.1.1 52 0x80000001 0x0073BA 0 8.0.0.0 192.168.1.1 1207 0x80000001 0x0066C6 0 9.0.0.0 192.168.1.1 1207 0x80000001 0x0059D2 0

首选查看设备有哪些关于ACL的配置，可以使用以下命令： 44-SW4#show running-config | section access ip access-group 100 in access-list 100 permit eigrp any any access-list 100 deny icmp any any 查看acl的具体情况，包括acl类型、acl序号、条目、条目序号、match数量等等 44-SW4#show ip access-lists Extended IP access list 100 10 permit eigrp any any (24 matches) 20 deny icmp any any 插入acl条目，如在条目10和20之间插入序号为15的条目，如下所示： 44-SW4#configure terminal 44-SW4(config)#ip access-list extended 100 44-SW4(config-ext-nacl)#15 permit icmp any any 44-SW4(config-ext-nacl)#end 44-SW4#show ip access-lists 100 Extended IP access list 100 10 permit eigrp any any (60 matches)

配置范例： r3(config)#access-list 10 deny 12.1.1.0 0.0.0.255 ／／拒绝网络12.1.1.0 r3(config)#access-list 10 permit any //允许所有 r3(config)#interface serial 0 r3(config-if)#ip access-group 10 in //在接口下面应用ACL在s0口IN的方向 =========================================================================== 配置范例（需要注意的是，扩张的ACL需要使用这个IOS: unzip-c7200-advsecurityk9-mz.124-11.T.bin )： r3(config)#access-list 100 deny tcp 33.1.1.0 0.0.0.255 22.1.1.0 0.0.0.255 eq 23 r3(config)#access-list 100 permit ip any any r3(config)#interface serial 0 r3(config-if)#ip access-group 10 out //应用ACL 来源： CSDN 作者： piyajee 链接： https://blog.csdn.net