当前位置:文档之家 › 反掩码与ACL

反掩码与ACL

  • 格式:doc
  • 大小:800.00 KB
  • 文档页数:35

下载文档原格式

  / 35

合集下载

思科网络配置-ACL

思科网络配置-ACL

思科⽹络配置-ACL1、标准ACL Router(config)# access-list access-list-number {permit | deny | remark} source [mask] Router(config-if)# ip access-group access-list-number {in | out} *表号------- 1 to 99 *缺省的通配符掩码 0.0.0.0 *no access-list access-list-number 移除整个ACL *remark 给访问列表添加功能注释 *mask 反掩码2.扩展ACL 扩展访问控制列表是⼀种⾼级的ACL,配置命令的具体格式如下: access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝] 例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址⽹页服务(WWW)TCP连接的数据包丢弃。

⼩提⽰:同样在扩展访问控制列表中也可以定义过滤某个⽹段,当然和标准访问控制列表⼀样需要我们使⽤反向掩码定义IP地址后的⼦⽹掩码。

  表号 100 to 199 3.命名访问控制列表 命名访问控制列表格式: ip access-list {standard/extended} <access-list-name>(可有字母,数字组合的字符串) 例如:ip access-list standard softer //建⽴⼀个名为softer的标准访问控制列表。

1. router(config)#ip access-list standard +⾃定义名2. router(config-std-nac1)#11 permit host +ip //默认情况下第⼀条为10,第⼆条为20.如果不指定序列号,则新添加的ACL被添加到列表的末尾3. router(config-std-nac1)#deny any4. router(config)#ip access-list standard benet5. router(config-std-nasl)#no 116. 使⽤show access-lists可查看配置的acl信息ACL的过滤流程: 1、按顺序的⽐较:先⽐较第⼀⾏,如果不匹配,再⽐较第⼆⾏,依次类推直到最后⼀⾏ 2、从第⼀⾏起,直到找到⼀个符合条件的⾏,符合以后就不再继续⽐较下去 3、默认在每个ACL中的最后⼀⾏为隐含的拒绝,最后要加pemint any,使其他的⽹络可通。

反掩码详解

反掩码详解

反掩码详解————————————————————————————————作者: ————————————————————————————————日期:ﻩ反掩码详解在配置路由协议的时候(如OSPF、EIGRP )使用的反掩码必需是连续的1即网络地址。

例:route ospf 100 network 192.168.1.00.0.0.255 network 192.168.2.00.0.0.255 而在配置ACL的时候可以使用不连续的1,只需对应的位置匹配即可。

例:access-list 1 permit 198.78.46.0 0.0.11.255ﻫ正掩码和反掩码的区别:正掩码必须是连续的,而反掩码可以不连续,例如:C类地址子网掩码中不可以出现255.253.255.0(二进制为111111111111110111111111 00000000)这样的掩码;而反掩码可以出现0.0.0.2(二进制为00000 00000)。

正掩码表示的路由条目,而反掩码表示的范围。

反掩码就是通配符掩码,通过标记0和1告诉设备应该匹配到哪位。

在反掩码中,相应位为1的地址在比较中忽略,为0的必须被检查.IP地址与反掩码都是32位的数例如掩码是255.255.255.0 wildcard-mask 就是0.0.0.255255.255.255.248 反掩就是0.0.0.7通配符掩码(wildcard-mask)ﻫ路由器使用的通配符掩码(或反掩码)与源或目标地址一起来分辨匹配的地址范围,它跟子网掩码刚好相反。

它像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。

这个地址掩码对使我们可以只使用两个32位的号码来确定IP地址的范围。

这是十分方便的,因为如果没有掩码的话,你不得不对每个匹配的IP客户地址加入一个单独的访问列表语句。

这将造成很多额外的输入和路由器大量额外的处理过程。

ACL(访问控制列表)的应用

ACL(访问控制列表)的应用

ACL的应用一、概述属于IOS包过滤防火墙的一部分,但是现在不仅仅是用在这个方面。

现在可以应用在:1、data plan 通过一些对数据包的匹配,抓到数据包对数据包进行丢弃或者转发等操作(对象:数据包、数据帧)2、control plan 对路由条目的匹配,对路由条目执行策略(路由条目)二、理论以及命令全局模式下:access-list<1-99> IP标准访问控制列表<100-199>IP扩展访问控制列表<200-299>协议类型代码访问控制列表没有明确标准的应用的流量<300-399>DECnet 访问控制列表<700-799>48bit MAC地址访问控制列表<1100-1199>扩展的48bit MAC地址访问控制列表<1300-1999>IP标准访问控制列表<2000-2699>IP扩展访问控制列表这些包含了常见的IP的二层协议和三层协议1、标准只能匹配协议中的一个地址(源地址)命令access-list 1 permit(允许)/deny(拒绝)/remark hostname/x.x.x.x/any(所有主机通配符32个1)/host(一台单一主机通配符32个0)掩码:/nn&x.x.x.x log/<cr>例子access-list 1 permit 1.1.1.1访问控制列表必须在某种技术环节下调用,否则不存在任何意义。

一般调用在接口下,比较常用。

调用的时候有方向:in或者out注意:每条访问控制列表后面都有一个隐式拒绝一个编号的访问控制列表可以使用多行,默认一般都是以10 开始编号,间隔是10,最大是2147483647。

一般认为无上限。

ACL书写的时候注意,是金字塔式的,从上到下,匹配的范围越来越大。

因为ACL 一旦匹配,就会立即执行动作,不会放到后一条。

例子:first:deny 192.168.1.0Second:permit 192.168.0.0Third:deny 192.0.0.0ACL使用反掩码(标识一个子网的范围)和通配符(不连续)确定所写的网段的路由范围反掩码与通配符的不同,是通配符不用连续例子:192.168.1.0 192.168.3.0 192.168.5.0 如何用通配符匹配192.168.1.0 192.168.00000001.0192.168.3.0 192.168.00000011.0192.168.5.0 192.168.00000101.0红位标注为不一致的地方,其他均为一致的地方,一致的地方使用0标识不一致的地方使用1标识,而且匹配IP地址最后的几个比特不做严格限制,最后结果是:192.168.1.0(3.0、5.0都行最后默认都会变成1.0)0.0.6.255(通配符)网络号是匹配路由的时候使用,IP是对数据包进行匹配show ip access-lists 查询出匹配了多少包clear ip access-lists counters [acl num]/<cr>没加反掩码或者通配符的话,那么后面自动跟上0.0.0.0如果先permit any 再permit 明细的话,会报错。

反掩码

反掩码

ACL中 wildcard-mask的各种使用方法 -------------------------------------------------------------------------------2009-03-15 16:33:05 标签:ACL wildcard [推送到技术圈]
反掩码 这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 ACL里的掩码也叫inverse mask(反掩码)或wildcard mask(通配符掩码),由32位长的2进制数字组成,4个八位位组.其中0代 表必须精确匹配,1代表任意匹配(即不关心) 反掩码可以通过使用255.255.255.255减去正常的子网掩码得到, 比如要决定子网掩码为255.255.255.0的IP地址172.16.1.0的反掩码: 255.255.255.255-255.255.255.0=0.0.0.255 即 172.16.1.0的反掩码为0.0.0.255
A>> 就是255.255.255.255 - subnet-mask 即 subnet-mask + wildcard-mask = 255.255.255.255 例:
1 使用一条ACL表示 172.16.0.0/24 答:
wildcard-maks = 255.255.255.255 - 255.255.255 permit 172.16.0.0 0.0.0.255 2 使用一条ACL将 下列条目都包括: 172.16.0.0/24 , 172.16.1.0/24 , 172.16.2.0/24 , 172.16.3.0/24 答: 0 0000 0000 1 0000 0001 2 0000 0010 3 0000 0011

ACL技术详解

ACL技术详解

•ACL :Access Control List ,访问控制列表ACL••ACL由一条或多条规则组成•每条规则必须选择动作:允许或拒绝•每条规则都有一个id 序列号(默认=5,间隔=5)•ACL 工作原理:序列号越小越先进行匹配•只要有一条规则和报文匹配,就停止查找,称为命中规则•查找完所有规则,如果没有符合条件的规则,称为未命中规则•ACL创建后,必须将其应用到某个接口或其他技术内才会生效•应用在接口时必须选择方向:入站或出站(相对设备来判断)•每个接口在每个方向上只可应用一个ACL •不能过滤由设备自己产生的数据•••ACL类型:分为数字型ACL和命名型ACL。

•192.168.0.1 0.0.0.0/0匹配一个主机地址192.168.0.0 0.0.0255匹配一个网段正掩码、反掩码、通配符区别:192.168.0.1 0.0.0.254匹配网段内奇数地址192.168.0.0 0.0.0.254匹配网段内偶数地址any=0.0.0.0 255.255.255.255匹配所有地址•acl 2000创建一个基本ACL rule 5deny/permit source 192.168.1.0 0.0.0.255配置ACL 的规则:拒绝或允许源地址为192.168.1.0/24网段内的所有流量acl 3000创建一个高级ACLrule 5deny/permit tcp source 192.168.1.0 0.0.0.255 destination 8.8.8.8 0destination-port eq 80配置ACL 的规则:拒绝或允许源地址为192.168.1.0/24网段内到8.8.8.8的HTTP 流量traffic-filter inbound/outbound acl 2000在接口调用ACL 过滤流量display acl 2000验证ACLdisplay traffic-filter applied-record查看设备上所有基于ACL 调用情况•ACL配置:••••基本ACL 尽量调用在离目标最近的出站接口•高级ACL 尽量调用在离源头最近的入站接口••ACL 接口调用方向的建议:。

H3CACL介绍及配置

H3CACL介绍及配置

H3C ACL介绍及配置ACL配置(一般在路由器防火墙等设备上做设置):ACL配置分类:基本ACL:编号范围2000-2999扩展或高级ACL:编号:3000-3999二层ACL:编号:4000-4999自定义ACL:编号:5000-5999[sys] firewall enable 开启过滤防火墙(在路由器和防火墙上使用) [sys] firewall default permit | deny 修改缺省规则(默认是permit)[sys] acl number xxxx根据实际情况选择ACL类别[sys-acl-basic-2000] rule (rule ID 规则编号可选) deny | permit source ip 地址反掩码[sys] int e0/1/2[sys-ethernet0/1/1] firewall packet-filter acl编号inbound | outbound 在接口应用ACL[sys] dispaly acl all 查看配置的ACL信息[sys] dis firewall-statistics all 查看防火墙统计信息<sys>reset firewall-statistics all 清除防火墙统计信息<sys> resetacl counter acl编号/all 清除ACL统计信息ACL规则匹配顺序:ACL支持两种顺序:config配置顺序(按照手动配置的先后顺序进行匹配)和auto 自动排序(按照深度优先的顺序进行匹配,即地址范围小的规则被优先进行匹配)默认的顺序是CONFIG(配置顺序)修改默认的匹配顺序:[sys] acl number ACL编号match-order auto | config基本ACL的“深度优先”顺序判断原则:1、先比较源IP地址范围,源IP地址范围越小(反掩码中“0”位的数量越多)的规则优先2、如果源IP地址范围相同,则先配置的规则优先高级ACL的“深度优先”顺序判断原则:1、先比较协议范围,指定了IP协议承载的协议类型的规则优先2、如果协议相同,则比较源IP地址,源IP地址范围越小的规则优先3、如果源IP地址相同,则比较目标地址范围,目标IP地址范围越小的规则优先4、如果目标IP地址相同,则比较第四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先5、如果上述范围都相同,则先配置的规则优先网络中配置ACL的原则:1、基本ACL应在不影响其他合法访问的情况下,尽可能使ACL靠近被过滤的源2、高级ACL应尽量靠近被过滤的源端口上应用ACLACL包过滤防火墙是静态防火墙,动态可以应用ASPF,基于应用层状态的包过滤>二层ACL里要写掩码,那么表示单个主机就是FFFF-FFFF-FFFF,所有主机就是0000-0000-0000。

ACL原理及应用

ACL原理及应用
cl)#permit tcp host 192.1.2.1 eq 25 any R1(config-ext-nacl)#permit udp host 192.1.2.2 eq 53 any R1(config-ext-nacl)#permit tcp host 192.1.2.3 eq 80 any /*上面三条命令允许DMZ服务器的响应被转发到Internet用户*/ R1(config-ext-nacl)#exit R1(config)#ip access-list extended external_ACL access/*此命名ACL用于过滤进入该网络的Internet流量*/ R1(config-ext-nacl)#permit tcp any host 192.1.2.1 eq 25 R1(config-ext-nacl)#permit udp any host 192.1.2.2 eq 53 R1(config-ext-nacl)#permit tcp any host 192.1.2.3 eq 80 /*上面三条命令允许Internet访问DMZ内的Email、DNS和Web服务器*/ R1(config-ext-nacl)#evaluate RACL_DMZ_return R1(config-ext-nacl)#evaluate RACL_Internal_return /*RACL_DMZ_return和RACL_Internal_return的引用允许由内部设备发送到 Internet的流量返回内部设备,也允许由DMZ设备发起的流量从Internet返 回。需要指出RACL_Internal_return被两个命名的ACL引用,允许返回的 Internet流量经过外部ACL(应用到E1的输入方向)和DMZ ACL(应用到E0的 输出方向)是必要的*/ R1(config-ext-nacl)#exit

反掩码详解

反掩码详解

反掩码详解在配置路由协议的时候(如OSPF、EIGRP )使用的反掩码必需是连续的1即网络地址。

例: routeospf 100 network 192.168.1.0 0.0.0.255 network 192.168.2.0 0.0.0.255而在配置ACL的时候可以使用不连续的1,只需对应的位置匹配即可。

例:access-list 1 permit 198.78.46.0 0.0.11.255正掩码和反掩码的区别:正掩码必须是连续的,而反掩码可以不连续,例如:C类地址子网掩码中不可以出现255.253.255.0(二进制为11111111 11111101 11111111 00000000)这样的掩码;而反掩码可以出现0.0.0.2(二进制为00000000 00000000 00000000 00000010)。

正掩码表示的路由条目,而反掩码表示的范围。

反掩码就是通配符掩码,通过标记0和1告诉设备应该匹配到哪位。

在反掩码中,相应位为1的地址在比较中忽略,为0的必须被检查.IP地址与反掩码都是32位的数例如掩码是255.255.255.0 wildcard-mask 就是0.0.0.255255.255.255.248 反掩就是0.0.0.7通配符掩码(wildcard-mask)路由器使用的通配符掩码(或反掩码)与源或目标地址一起来分辨匹配的地址范围,它跟子网掩码刚好相反。

它像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP 地址中的多少位。

这个地址掩码对使我们可以只使用两个32位的号码来确定IP地址的范围。

这是十分方便的,因为如果没有掩码的话,你不得不对每个匹配的IP客户地址加入一个单独的访问列表语句。

这将造成很多额外的输入和路由器大量额外的处理过程。

所以地址掩码对相当有用。

在子网掩码中,将掩码的一位设成1表示IP地址对应的位属于网络地址部分。

ACL和反掩码

ACL和反掩码

ACL和反掩码学习ACL,搞懂ACL就不能不搞定wildcard mask,通配符掩码。

说简单点,通配符掩码就是0为绝对匹配,必须严格匹配才行,而1为任意,从某种意义上讲,如果一个8位上有一个1字符,那也只有两种方式,0或者1,但是如果进行组合,那么方式就多了。

举例说明吧。

一般我们在应用上都是进行地址块的匹配,怎么讲呢?就是说:1)对某个A B C类网进行匹配或者教通配符屏蔽2)对某个子网应用ACL。

3)对特定主机应用ACL4)对任意主机或者网络应用ACL5)特殊情况的匹配差不多就是以上五种情况,下面一一说明。

1)对某个有类网络进行ACL的通配符屏蔽。

这种情况很好解释。

例如:A类:10.0.0.0 0.255.255.255先写成二进制形式:00001010.00000000.00000000.0000000000000000.11111111.111111111.11111111可以看出,第一个字节需要严格匹配,也就是说必须为10.,后面的任意匹配。

得到的网络为10.*.*.*如果我把这个改一下呢?10.0.0.0 0.0.3.255同样写成二进制形式:00001010.00000000.00000000.0000000000000000.00000000.00000011.111111111前两个字节严格匹配为10.0,后面的同上题一个思路,0就严格匹配,1就任意。

在这里,后10个比特可以任意匹配,我们通过计算可以得到合适的结果:10.0.0.*10.0.1.*10.0.2.*10.0.3.*这四个子网2)对某个子网应用ACL还是举例说明,以C类网络192..168.1.0/24为例进行子网划分。

我们引入地址块的思想进行解释会好理解一些。

因为子网一般都是以地址块形式存在的。

?地址块为128,192.168.1.128 0.0.0.127?地址块为64,192.168.1.0 0.0.0.63?地址块为32,192.168.1.0 0.0.0.31?地址块为16,192.168.1.0 0.0.0.15?地址块为8,192.168.1.0 0.0.0.7?地址块为4,192.168.1.0 0.0.0.3?地址块为2,192.168.1.0 0.0.0.13)对特定主机应用ACL通配符需要全匹配,例如:182.168.12.4 0.0.0.0还有一种表示方法:host 182.168.12.4Host在这里是关键字,用来代替0.0.0.0 ,用于源地址和目的地址字段。

思科CISCO Acl访问控制详解

思科CISCO Acl访问控制详解

访问控制列表ACLACL简介ACL(Access Control List)是一个常用的用于流量匹配的工具,ACL通过对数据包中的源IP、目标IP、协议、源端口、目标端口这5元素进行匹配,然后对匹配的数据执行相应的策略(转发、丢弃、NAT 转换、限速)1.对访问网络的流量进行过滤,实现网络的安全访问;2. 网络地址转换(NAT);3. QOS服务质量;4. 策略路由。

策略:要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务。

一、标准ACL:匹配条件较少,只能通过源IP地址和时间段进行流量匹配,在一些需要进行简单匹配的环境中使用。

R(config)# access-list 编号策略源地址编号:标准ACL范围1--- 99策略:permit允许 | deny 拒绝源地址:要严格检查的地址( IP+通配符掩码)通配符掩码--- 是用来限定特定的地址范围(反掩码)用0 表示严格匹配用1 表示不检查例:主机 172.16.1.1 通配符掩码 0.0.0.0 32位都要检查主网 172.16.0.0/16 通配符掩码0.0.255.255 检查16位子网 172.16.1.0/24 通配符掩码0.0.0.255 24位要检查任意的 0.0.0.0 通配符掩码255.255.255.255不检查主机 ---- host 172.16.1.1 任意 ---- any练习:192.168.1.64/28子网掩码:255.255.255.240子网号: 192.168.1.64/28 (剩余4个主机位,网络号是16的倍数)广播地址: 192.168.1.79 (下一个网络号-1)通配符掩码 0.0.0.15 (比较前28位)通配符掩码 = 255.255.255.255 - 子网掩码也称为反掩码将ACL与接口关联:R(config-if)#ip access-group 编号 {in|out}{in|out} 表明在哪个方向上的数据进行控制策略:要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务部。

acl反掩码规则

acl反掩码规则

acl反掩码规则ACL反掩码规则是网络安全中常用的一种策略控制技术,用于配置和管理网络设备的访问控制列表(ACL)。

通过使用ACL反掩码规则,可以限制或允许特定的网络流量,从而提高网络的安全性和性能。

本文将介绍ACL反掩码规则的原理、应用场景和配置方法。

一、ACL反掩码规则的原理ACL反掩码规则是基于源地址、目的地址和协议类型等信息来过滤网络流量的一种策略控制技术。

在ACL中,每条规则都由一个反掩码(wildcard mask)和一个掩码(mask)组成。

反掩码用于匹配需要过滤的网络流量,而掩码用于指定允许或拒绝匹配的条件。

ACL反掩码规则的匹配过程是逐位比较的。

当一个网络流量与ACL 规则中的反掩码进行匹配时,网络设备会将流量中的源地址与反掩码进行“与”操作,得到一个结果。

然后,再将该结果与掩码进行“或”操作,得到最终的匹配结果。

如果匹配结果为真,则网络流量会被允许通过;如果匹配结果为假,则网络流量会被拒绝。

二、ACL反掩码规则的应用场景ACL反掩码规则广泛应用于网络设备的访问控制、流量控制和安全策略等方面。

下面是几个常见的应用场景:1. 限制特定IP地址的访问:通过配置ACL反掩码规则,可以限制特定IP地址的访问网络资源,从而提高网络的安全性。

2. 阻止恶意流量:ACL反掩码规则可以用于阻止恶意流量,例如DDoS攻击、端口扫描等,从而减轻网络设备的负载压力。

3. 优化网络性能:通过配置ACL反掩码规则,可以限制或允许特定类型的网络流量,从而优化网络的性能。

例如,可以禁止P2P下载或限制视频流量,以减少网络拥塞。

4. 实现访问控制:ACL反掩码规则可以用于限制特定用户或用户组的访问权限,从而实现访问控制。

例如,可以禁止某些用户访问特定的网络资源。

三、ACL反掩码规则的配置方法配置ACL反掩码规则的方法因设备和操作系统而异。

下面是一个简单的示例,演示了如何在Cisco路由器上配置ACL反掩码规则:1. 进入路由器的配置模式:```enableconfigure terminal```2. 创建一个访问控制列表(ACL):```access-list 10 permit 192.168.1.0 0.0.0.255```3. 创建一个反掩码规则:```ip access-list extended ACL-1permit ip any 192.168.1.0 0.0.0.255```4. 应用ACL反掩码规则到接口:```interface GigabitEthernet0/0ip access-group ACL-1 in```通过以上配置,ACL反掩码规则将会过滤进入GigabitEthernet0/0接口的流量。

各种反掩码的计算方法

各种反掩码的计算方法

关于ACL反掩码,OSPF,EIGRP配置反掩码和区域汇总的计算总结一:关于ACL反掩码:ACL的反掩码注意 0为严格匹配 1为不用管1(01),2(10),4(100),8(1000),16(10000),32,64,128 为基数值例如:网段为:192.168.0.0 0为000192.168.1.0 1为001192.168.2.0 2为010192.168.3.0 3为011192.168.4.0 4为100这时候写访问控制列表的时候:Access 1 deny 192.168.0.0 0.0.3.0 后两位变化所以为3192.168.4.0 无法写进去再例如:192.168.128.0 128为00192.168.129.0 129为01192.168.130.0 130为10192.168.131.0 131为11写法跟上面一样反掩码都为0.0.3.0在例如:1.0 -22.0写一条表示:22大于16小于32 也就是说他不用严格匹配的为5全用1表示所以反掩码为1+2+4+8+16=31需要精确的匹配需要4条:192.168.0.0 0.0.15.0192.168.16.0 0.0.3.0192.168.20.0 0.0.1.0192.168.22.0 0.0.0.0二关于网段反掩码的写法:255.255.255.255 减去子网掩码:255.255.255.252 就得出反掩码 0.0.0.3三关于汇总的写法192.168.1.0 000192.168.2.0 001192.168.3.0 010192.168.4.0 100都是/24位的汇总为192.168.0.0/22 子网掩码为255.255.252.0192.168.4.0 就不能汇总进去1.0-25.0汇总25大于16 小于32 所以他在变化的位在:10000和100000之间所以是5位也就是说子网为/24-5=19的网段注意多汇总了网段为相同的为几就是几不同的为0反码为相同的为0 不同的为1 这个又是不是完全匹配可能会有漏掉的路由条目!反问控制列表不能匹配掩码前缀列表:199.172.4.0/22(这个意思为匹配前22位) ge 25 le 25(掩码为25位)。

acl掩码匹配规则

acl掩码匹配规则

acl掩码匹配规则摘要:一、acl 掩码匹配规则简介1.acl 掩码的作用2.掩码匹配规则的分类二、acl 掩码匹配规则详解1.通配符掩码2.扩展通配符掩码3.反向掩码4.偏移量掩码三、acl 掩码匹配规则的应用1.网络安全策略2.路由策略四、总结正文:一、acl 掩码匹配规则简介在计算机网络中,acl(Access Control List,访问控制列表)是一种用于控制网络通信访问的技术。

通过配置acl,可以限制特定网络流量的访问权限。

掩码匹配规则是acl 中的一种重要概念,它用于定义网络地址的匹配方式。

了解掩码匹配规则对于网络工程师来说至关重要,因为它可以帮助他们更精确地控制网络流量。

二、acl 掩码匹配规则详解1.通配符掩码通配符掩码是最基本的掩码类型,它使用通配符“*”来表示任意数量的字符。

例如,如果要匹配所有以“192”开头的IP 地址,可以使用通配符掩码“0.0.0.255”。

2.扩展通配符掩码扩展通配符掩码是一种更灵活的掩码类型,它使用“?”符号来表示一个字符,使用“[]”符号来表示字符范围。

例如,如果要匹配所有以“192”开头、第三字节为“6”的IP 地址,可以使用扩展通配符掩码“0.0.1[0-9].*”。

3.反向掩码反向掩码是一种特殊的掩码类型,它将IP 地址的每个字节取反,然后与原始IP 地址进行比较。

例如,如果要匹配所有以“192”开头、第三字节为“6”的IP 地址,可以使用反向掩码“11000000.00000000.00000001.00000000”。

4.偏移量掩码偏移量掩码是一种用于匹配特定IP 地址范围的掩码类型。

它通过指定一个偏移量来匹配特定范围内的IP 地址。

例如,如果要匹配所有以“192”开头、第三字节为“6”的IP 地址,可以使用偏移量掩码“0.0.1[0-9].*”,并指定偏移量为6。

三、acl 掩码匹配规则的应用1.网络安全策略在网络安全策略中,acl 掩码匹配规则用于限制特定IP 地址或IP 地址范围的访问权限。

ACL 3P原则

ACL 3P原则
如果不使用host 参数,则认为那个IP的整个网络可以访问。
自反ACL 的应用:
1、自反ACL永远是permit
2、自反ACL允许高层Session信息的IP包过滤
3、利用自反ACL可以只允许出去的流量,但是阻止从外部网络产生的向内部网络的流
6、先建立ACL,才能应用在接口上
7、ACL语句不能被逐条的删除,只能一次性删除整个ACL
8、在ACL的最后,有一条隐含的“全部拒绝”的命令,所以在ACL里一定至少有一条“允许”的语句
9、ACL只能过滤穿过的流量,不能过滤本路由产生的流量
10、在路由器选择进行以前,应用在接口进入方向的ACL起作用
正确放置ACL
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在那个地方。
原则是:标准ACL要尽量靠近目的端,而扩展ACL要尽量靠近需要过滤的端
定义ACL时所应遵循的规范
1、ACL的列表号指出了是哪种协议的ACL。
每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。
每个接口一个 ACL 一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。
ACL 的编写可能相当复杂而且极具挑战性。每个接口上都可以针对多种协议和各个方向进行定义。示例中的路由器有两个接口配置了 IP、AppleTalk 和 IPX。该路由器可能需要 12 个不同的 ACL — 协议数 (3) 乘以方向数 (2),再乘以端口数 (2)。
2、一个ACL的配置是每协议、每接口、每方向的。
3、ACL的语句顺序决定了对数据包的控制顺序。

反掩码详解

反掩码详解

反掩码详解在配置路由协议得时候(如OSPF、EIGRP )使用得反掩码必需就是连续得1即网络地址。

例: route ospf 100 network 192、168、1、0 0、0、0、255 network 192、168、2、0 0、0、0、255而在配置ACL得时候可以使用不连续得1,只需对应得位置匹配即可。

例:access-list 1 permit 198、78、46、0 0、0、11、255正掩码与反掩码得区别:正掩码必须就是连续得,而反掩码可以不连续,例如:C类地址子网掩码中不可以出现255、253、255、0(二进制为11111111 11111101 11111111 00000000)这样得掩码;而反掩码可以出现0、0、0、2(二进制为00000 00000)。

正掩码表示得路由条目,而反掩码表示得范围。

反掩码就就是通配符掩码,通过标记0与1告诉设备应该匹配到哪位。

在反掩码中,相应位为1得地址在比较中忽略,为0得必须被检查、IP地址与反掩码都就是32位得数例如掩码就是255、255、255、0 wildcard-mask 就就是0、0、0、255255、255、255、248 反掩就就是0、0、0、7通配符掩码(wildcard-mask)路由器使用得通配符掩码(或反掩码)与源或目标地址一起来分辨匹配得地址范围,它跟子网掩码刚好相反。

它像子网掩码告诉路由器IP地址得哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中得多少位。

这个地址掩码对使我们可以只使用两个32位得号码来确定IP地址得范围。

这就是十分方便得,因为如果没有掩码得话,您不得不对每个匹配得IP客户地址加入一个单独得访问列表语句。

这将造成很多额外得输入与路由器大量额外得处理过程。

所以地址掩码对相当有用。

在子网掩码中,将掩码得一位设成1表示IP地址对应得位属于网络地址部分。

相反,在访问列表中将通配符掩码中得一位设成1表示I P地址中对应得位既可以就是1又可以就是0。

acl通配符

acl通配符

acl的功能:1.访问控制2. 匹配:a.匹配数据 b.匹配路由。

配置:1.标准访问控制列表:①access-list(1-99)基于ip标准,只能控制ip包。

(1300-1999)不常用。

②编号的没有办法针对某一行单独删除,也不可以进行插入,支持行号重排;命名的都可以。

③只能匹配源ip。

④当匹配路由时,只能控制网络号,不能控制掩码(掩码比须一致)。

a. 编号的:R2(config)#access-list [list number][permit | deny][source address][wildcard-mask][log]例如: R2(config)#access-list 10 permit 12.1.1.1 0.0.0.0R2(config)#access-list 10 permit 1.1.1.0 0.0.0.255b. 命名的:R2(config)#ip access-list standard[(1-99,1300-1999)| (wolf ,wolf123 ,e@#¥,......)]例如:R2(config)#(行号)ip access-list standardwolf (行号可选,一般在需要插入的时候使用)R2(config-std-nacl)#permit 4.4.4.40.0.0.255 (可进到该表下,不必再像编号那样每次都accless)R2(config-std-nacl)#permit 5.55.5.0 0.0.255.254R2(config-std-nacl)#remark ce shi (描述:针对上面一行)R2(config-std-nacl)#deny host 192.168.0.12.扩展访问控制列表:a.编号的:R2(config)#access-list [list num.] [per | deny][protocol | protocol keyword] [source address][source-wildcard] [source port] [dest address] [dest-wildcard] [dest port] [log] [options]①access-list(100-199)不仅基于ip,还可以支持tcp、udp、icmp、等协议。

【ACL掩码】通配符掩码反转掩码

【ACL掩码】通配符掩码反转掩码

【ACL掩码】通配符掩码反转掩码路由器使用的通配符掩码(或者称作反掩码)与源或目标地址一起来分辨匹配的地址范围,它跟子网掩码刚好相反。

它像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP 地址中的多少位。

这个地址掩码对使我们可以只使用两个32位的号码来确定IP地址的范围。

这是十分方便的,因为如果没有掩码的话,你不得不对每个匹配的IP客户地址加入一个单独的访问列表语句。

这将造成很多额外的输入和路由器大量额外的处理过程。

所以地址掩码对相当有用。

在子网掩码中,将掩码的一位设成1表示IP地址对应的位属于网络地址部分。

相反,在访问列表中将通配符掩码中的一位设成1表示I P地址中对应的位既可以是1又可以是0。

有时,可将其称作"无关"位,因为路由器在判断是否匹配时并不关心它们。

掩码位设成0则表示IP地址中相对应的位必须精确匹配。

例如:掩码是255.255.255.0 wildcard-mask就是0.0.0.255 255.255.255.248 反掩掩码就是0.0.0.7反转掩码,顾名思义,是将原子网的掩码0变成1,1变成0。

原子网掩码为255.255.255.0,反转掩码就是0.0.0.255 ACL里的掩码也叫inverse mask(反掩码)或wildcard mask(通配符掩码),由32位长的2进制数字组成,4个八位位组.其中0代表必须精确匹配,1代表任意匹配(即不关心)反掩码可以通过使用255.255.255.255减去正常的子网掩码得到,比如要决定子网掩码为255.255.255.0的IP地址10.10.10.0的反掩码:255.255.255.255-255.255.255.0=0.0.0.255即10.10.10.0的反掩码为0.0.0.255注意:反掩码为255.255.255.255的0.0.0.0代表any,即任意地址反掩码为0.0.0.0的10.1.1.2代表主机地址10.1.1.2下面描述的是如何汇总(summarization)一组网络地址,来达到优化ACL的目的:192.168.32.0/24 192.168.33.0/24 192.168.34.0/24 192.168.35.0/24 192.168.36.0/24 192.168.37.0/24 192.168.38.0/24 192.168.39.0/24这组IP地址的前2个和最后1个八位位组是一样的,再看第3个八位位组,把它们写成2进制的形式:32:00 10 00 00 33:00 10 00 01 34:00 10 00 10 35:00 10 00 11 36:00 10 01 00 37:00 10 01 01 38:00 10 01 10 39:00 10 01 11注意这组范围里的前5位都是一样的,所以这组IP地址范围可以汇总为192.168.32.0/21 255.255.248.0,那么这组IP地址范围的反掩码为255.255.255.255-255.255.248.0=0.0.7.255比如在做IP standard ACL的时候,就可以:access-list 10 permit 192.168.32.0 0.0.7.255个人笔记:ACL反转掩码写成0.0.0.254表示过滤网络中奇数地址。

acl通配符掩码计算

acl通配符掩码计算

acl通配符掩码计算ACL(访问控制列表)是用于网络安全中的重要工具,通配符掩码是ACL中常用的一种技术。

本文将介绍ACL通配符掩码的计算方法,并探讨其在网络安全中的应用。

首先,什么是ACL通配符掩码?ACL是一种用于控制网络流量的机制,它决定了哪些数据包能够进入或离开网络。

而通配符掩码则是用于匹配IP地址的一种方法。

通配符掩码是一个32位的二进制数,用于表示IP地址的每一位是否需要进行匹配。

在计算通配符掩码时,需要了解IP地址和子网掩码的概念。

IP地址是网络中用于唯一标识设备的地址,而子网掩码则用于划分IP地址的网络部分和主机部分。

通配符掩码可以通过子网掩码来计算得到。

通配符掩码的计算方法如下:首先将子网掩码中每个位上的值取反(0变1,1变0),然后与IP地址进行按位与运算。

这样得到的结果即为通配符掩码。

例如,假设有一个IP地址为192.168.1.0,子网掩码为255.255.255.0。

首先将子网掩码取反得到0.0.0.255,然后与IP地址进行按位与运算,结果为192.168.1.0。

所以通配符掩码为0.0.0.255。

通配符掩码的计算对于网络安全非常重要。

它可以用于ACL中来控制网络流量的进出。

通过设置ACL规则,可以限制特定IP地址或一定范围的IP地址的访问权限,提高网络的安全性。

举个例子,假设你是一家公司的网络管理员,想要限制某个部门员工只能访问内部网络的一部分资源。

你可以通过ACL和通配符掩码来实现。

首先,你需要计算出该部门员工的IP地址范围所对应的通配符掩码。

然后,你可以在网络设备上配置ACL规则,允许该部门员工的IP地址范围访问特定的资源,而禁止其访问其他资源。

使用ACL通配符掩码不仅可以实现访问控制,还可以提高网络性能。

通过设置ACL规则,可以过滤掉一些无关的网络流量,从而减少网络带宽的消耗,提升网络的传输效率。

但是,在使用ACL通配符掩码时也要注意一些问题。

首先,要确保ACL规则设置正确,否则可能会导致错误的访问限制或开放。

ACL中反掩码讲解+总结

ACL中反掩码讲解+总结

ACL中反掩码讲解+总结总结:在反掩码中,1表⽰随机,0表⽰精确匹配;0和1,永远不交叉;0永远在左边,1永远在右边;在路由协议的配置中,通过network命令进⾏⽹段宣告时,会使⽤在掩码中,1表⽰精确匹配,0表⽰随机;1和0,永远不交叉;1永远在左边,0永远在右边;在配置IP地址以及路由的时候,会使⽤掩码;在通配符中,1表⽰随机,0表⽰精确匹配;0和1的位置,没有任何的固定限制;可以连续,可以交叉;在ACL中,使⽤的通配符;例:答案解析写成⼆进制0000 1010 . 0000 0001 . 0000 0001 .0000 00000000 0000 . 0000 0000 . 1111 1110 . 1111 1111根据 0 就严格匹配,1 就任意,可得到结果(注意:这⾥X代表任意填充)10.1.xxxx xxx1.xxxx xxxx10.1.1.1 换成⼆进制(10.1.0000 0001.0000 0001)标记红⾊的0都可以变为110.1.3.1 换成⼆进制(10.1.0000 0011.0000 0001)标记红⾊的0都可以变为1所以选AC若还不明⽩把【通配符掩码】转为⼆进制对⽐如下:根据 0 就严格匹配,1 就任意把0.0.254.255转为⼆进制为00000000.00000000.11111110.11111111表⽰前16位检查+第24位检查,其他位不检查都是匹配的。

把【原地址】转为⼆进制对⽐如下:把10.1.1.0 转为⼆进制为00001010.00000001.00000001.00000000把【选择题中的地址】转为⼆进制对⽐如下:把10.1.1.1转为⼆进制为00001010.00000001.00000001.00000001把10.1.2.1转为⼆进制为00001010.00000001.00000010.00000001 第24位必须为1把10.1.3.1转为⼆进制为00001010.00000001.00000011.00000001把10.1.4.1转为⼆进制为00001010.00000001.00000100.00000001 第24位必须为1总结:以10.1.1.0为标准,只要是⼆进制的前16位+第24位相同,即为匹配;因为在反掩码中,相应位为1的地址在⽐较中忽略,为0的必须被检查。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。

如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。

实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。

今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。

什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。

这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。

因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。

分类:标准访问控制列表扩展访问控制列表基于名称的访问控制列表反向访问控制列表基于时间的访问控制列表标准访问列表:访问控制列表ACL分很多种,不同场合应用不同种类的ACL。

其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL标准访问控制列表的格式:标准访问控制列表是最简单的ACL。

它的具体格式如下:access-list ACL号 permit|deny host ip地址例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。

当然我们也可以用网段来表示,对某个网段进行过滤。

命令如下:access-list 10 deny 192.168.1.0 0.0.0.255通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。

为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。

小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。

标准访问控制列表实例一:网络环境介绍:我们采用如图所示的网络结构。

路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。

在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。

实例1:禁止172.16.4.0/24网段中除172.16.4.13这台计算机访问172.16.3.0/24的计算机。

172.16.4.13可以正常访问172.16.3.0/24。

路由器配置命令access-list 1 permit host 172.16.4.13 设置ACL,容许172.16.4.13的数据包通过。

access-list 1 deny any设置ACL,阻止其他一切IP地址进行通讯传输。

int e 1进入E1端口。

ip access-group 1 in将ACL 1宣告。

经过设置后E1端口就只容许来自172.16.4.13这个IP地址的数据包传输出去了。

来自其他IP 地址的数据包都无法通过E1传输。

小提示:由于CISCO默认添加了DENY ANY的语句在每个ACL中,所以上面的access-list 1 deny any这句命令可以省略。

另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告,宣告结果和上面最后两句命令效果一样。

标准访问控制列表实例二:配置任务:禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问,而172.16.4.0/24中的其他计算机可以正常访问。

路由器配置命令:access-list 1 deny host 172.16.4.13设置ACL,禁止172.16.4.13的数据包通过access-list 1 permit any设置ACL,容许其他地址的计算机进行通讯int e 1进入E1端口ip access-group 1 in将ACL1宣告,同理可以进入E0端口后使用ip access-group 1 out 来完成宣告。

配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯,传输数据包。

总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。

应用比较广泛,经常在要求控制级别较低的情况下使用。

如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。

扩展访问控制列表:上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。

那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。

这时候就需要使用扩展访问控制列表了。

使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。

扩展访问控制列表使用的ACL号为100到199。

扩展访问控制列表的格式:扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下:access-list ACL号[permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。

小提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。

扩展访问控制列表的实例:网络环境介绍:我们采用如图所示的网络结构。

路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。

在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。

配置任务:禁止172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可以访问172.16.4.13上的WWW服务,而其他服务不能访问。

路由器配置命令:access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www设置ACL101,容许源地址为任意IP,目的地址为172.16.4.13主机的80端口即WWW服务。

由于CISCO默认添加DENY ANY 的命令,所以ACL只写此一句即可。

int e 0进入E1端口ip access-group 101 out将ACL101宣告出去设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了,就算是服务器172.16.4.13开启了FTP服务也无法访问,惟独可以访问的就是172.16.4.13的WWW服务了。

而172.16.4.0的计算机访问172.16.3.0的计算机没有任何问题。

扩展ACL有一个最大的好处就是可以保护服务器,例如很多服务器为了更好的提供服务都是暴露在公网上的,如果所有端口都对外界开放,很容易招来黑客和病毒的攻击,通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉,降低了被攻击的机率。

如本例就是仅仅将80端口对外界开放。

总结:扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP。

不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器CPU资源。

所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。

基于名称的访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除。

也就是说修改一条或删除一条都会影响到整个ACL列表。

这一个缺点影响了我们的工作,为我们带来了繁重的负担。

不过我们可以用基于名称的访问控制列表来解决这个问题。

一、基于名称的访问控制列表的格式:ip access-list [standard|extended] [ACL名称]例如:ip access-list standard softer就建立了一个名为softer的标准访问控制列表。

二、基于名称的访问控制列表的使用方法:当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。

例如我们添加三条ACL规则permit 1.1.1.1 0.0.0.0permit 2.2.2.2 0.0.0.0permit 3.3.3.3 0.0.0.0如果我们发现第二条命令应该是2.2.2.1而不是2.2.2.2,如果使用不是基于名称的访问控制列表的话,使用no permit 2.2.2.2 0.0.0.0后整个ACL信息都会被删除掉。

正是因为使用了基于名称的访问控制列表,我们使用no permit 2.2.2.2 0.0.0.0后第一条和第三条指令依然存在。

总结:如果设置ACL的规则比较多的话,应该使用基于名称的访问控制列表进行管理,这样可以减轻很多后期维护的工作,方便我们随时进行调整ACL规则。