ACL(訪問控制列表):是應用在路由器接口的指令列表。
其基本原理:ACL使用包過濾技術,在路由器上讀取OSI七層模型的第三層及第四層包頭中的信息,如源地址、目的地址、源端口、目的端口等,根據預先定義好的規則,對包進行過濾,從而達到訪問控制的目的。
ACL可以分爲以下兩種基本類型:
1、標準訪問控制列表:檢查數據包的源地址。其結果基於源網絡/子網/主機IP地址,來決定允許還是拒絕轉發數據包。它實行1~99之間的數字作爲代表。
2:擴展訪問控制列表:對數據包的源地址與目標地址均進行檢查。它也能建廠特定的協議、端口號以及其他參數。它使用1~199之間的數字作爲表號。
訪問控制列表的工作原理:
ACL是一簇規則的集合,它應用在路由的某個接口上。對路由器而言,訪問控制列表有兩個方向:
出:已經過路由的處理,正離開路由接口的數據包。
入:已到達路由器接口的數據包,將被路由處理。
如果對接口應用了訪問控制列表,也就是說該組應用了一組規則,那麼路由器將對數據包應用該組規則進行順序檢查。
·如果匹配第一條規則,則不在往下檢查,路由器將決定該數據包允許通過或拒絕通過。
·如果不匹配第一條規則,則依次往下檢查,知道有任何一條規則配備,路由器將決定該數據包允許通過匯拒絕通過。
·如果沒有任何一條規則匹配則路由器根據默認規則將該數據包。
數據包要麼被允許,要麼被拒絕。
在ACL中,規則的放置順序是很重要的。一旦找到了某一匹配規則,就結束比較過程,不再檢查以後的其他規則。
訪問控制列表的類型:
1、標準訪問控制列表:標準訪問控制列表根據數據包的源IP地址來允許或拒絕數據包。標準訪問控制列表的訪問控制列表號是1~99。
2、擴展訪問控制列表:擴展訪問控制列表根據數據包的源IP地址。目的IP地址、指定協議、端口和標誌來允許或拒絕數據包。擴展訪問控制列表的是100~199。
3、命名訪問控制列表:命名訪問控制列表允許在標準和擴展訪問控制列表中使用名稱代替表號。
4、定時訪問控制列表:定時訪問控制列表提供基於時間的附加控制特性,定義在什麼時間允許或拒絕數據包。