輕松學習理解ACL訪問控制列表

http://m.yibo1263.com　2008/8/20 8:28:59 　來源:51CTO 　編輯:葉子

　　任何企業(yè)網絡系統(tǒng)在為創(chuàng)造價值的同時，對安全性也有很高的要求。ACL（網絡層訪問控制列表）其實可以幫助企業(yè)實現(xiàn)網絡安全策略，可以說ACL是一個很不錯的解決工具或方案。

　　那什么是ACL呢？為了幫助企業(yè)網絡運維人員深入理解ACL，可以根據(jù)以下幾點看透ACL本質。

　　一、從名稱解析ACL

　　ACL：Acess Control List，即訪問控制列表。這張表中包含了匹配關系、條件和查詢語句，表只是一個框架結構，其目的是為了對某種訪問進行控制。

　　信息點間通信，內外網絡的通信都是企業(yè)網絡中必不可少的業(yè)務需求，但是為了保證內網的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網絡中的流量，控制訪問的一種網絡技術手段。

　　二、看透ACL的本質

　　通常，很多企業(yè)都在使用NAT技術進行地址轉換，而NAT技術中就包含了ACL的應用。通過ACL，我們可以控制哪些私有地址能上外網（公網），哪些不能。然后把這些過濾好的數(shù)據(jù)，進行NAT轉換。另外，企業(yè)也需要對服務器的資源訪問進行控制，通過ACL過濾出哪些用戶不能訪問，哪些用戶能訪問。

　　從實際應用中，我們看到ACL能夠區(qū)分不同的數(shù)據(jù)流。這也意味著ACL的本質其實是一種流量分類技術，它是人為定義的一組或幾組規(guī)則，目的是通過網絡設備對數(shù)據(jù)流分類，以便執(zhí)行用戶規(guī)定的動作。換句話說，ACL本身不能直接達到訪問控制的目的，它間接輔助特定的用戶策略，達到人們所需效果的一種技術手段。在筆者看來，ACL是一種輔助型的技術或者說是工具。

　　三、玩轉基本的ACL

　　拓撲描述：某企業(yè)有100個信息點，分屬五個部門。用一臺二層交換機和一臺路由器作為網絡層設備；局域網內部有一臺OA服務器。

　　組網需求：五個部門分屬5個VLAN，VLAN間不能互通。要求所有終端都可以上公網，并訪問OA服務器。

　　也就是說，有兩個需求：

　　1、5個部門的終端不能互相通訊

　　2、5個部門都要求能夠訪問OA SERVER和公網。

　　根據(jù)這兩種實際需求，怎么用ACL實現(xiàn)呢？

　　以Cisco路由器為例，在全局模式下進行如下配置：

　　access-list 100 permit ip any host OA的ip

　　access-list 100 deny ip any ip網絡號通配符

　　access-list 100 permit ip any any

　　然后在相應的子接口下綁定:

　　ip access-group 100 in

　　命令解釋：第一條就是允許OA服務器上的數(shù)據(jù)進入，第二條就是拒絕其它四個部門的數(shù)據(jù)流進入，第三條是允許所有流量進入，然后最后在相應接口綁定并啟用放通或丟棄的操作。

　　我們配置ACL都有幾個配置原則，細化優(yōu)先原則和最長匹配原則，不同的配置順序影響不同的執(zhí)行效果。通常都是按一個匯總的原則進行規(guī)劃IP地址，所以第二條后面的IP網絡號代表的是其它VLAN的子網匯總網絡號。一般來說，思科的ACL最后都默認隱藏了一條deny 所有的語句，所以必須人為添加一條permit語句。

　　在邊界路由器上配置上述的命令，就能滿足需求了，當然還需要和其他配置命令相結合使用，比如劃分VLAN，配置路由協(xié)議等。但無論是怎樣的需求，只要記住ACL的核心，它是一種流量分類技術，可以用特定的方式標記和分類網絡中的流量，配合其它操作策略一起完成某項任務。只要明白這點，我們就能夠玩好基本的ACL了。

【收藏】【打印】【進入論壇】

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费