什麼是訪問控制列表:
1.應用在路由器接口的指令列表(即規則)。具有同一個訪問列表表號或名稱的access-list語句便組成了一個邏輯序列或指令列表。
1.應用在路由器接口的指令列表(即規則)。具有同一個訪問列表表號或名稱的access-list語句便組成了一個邏輯序列或指令列表。
2.哪些數據包可以接收,哪些數據包需要拒絕.(數據包的過濾器)
ACL基本原理是:
ACL使用包過濾技術,在路由器上讀取OSI 7 層模型的第三層和第四層包頭中的信息,如源、目標地址 端口協議等,根據預先定義好的規則對包進行過濾!達到訪問控制的目的.
ACL類型:
標準訪問控制列表:檢查被路由數據包的源地址。其結果給予源網絡/子網/主機IP地址,來據定是允許還是拒絕。
表號 1~~99
擴展訪問控制列表:對數據包的源地址與目標地址均進行檢查,也能檢查特定的協議、端口號以及其他參數。
表號 100~~199
Acl是基於協議的。看路由器接口是否支持(IP IPX Apple Talk)等協議。
ACL概述
一、ACL作用
① 提供網絡訪問的基本安全手段。
(允許某一主機訪問某個網絡,阻止另一個主機訪問這個網絡)
② ACL可用於Qos對數據流量進行控制。
(例如可根據數據包的協議,制定某類數據包具有更高的優先級,或者賦予低優先級或拒絕。起到限制網絡流量,減少網絡堵塞)
③ 提供對通信流量的控制手段
④處理過程
匹配 看結果 permit/deny
不匹配 看結果 permit/deny
無條件 默認隱含的全部拒絕
⑤ACL的入和出
在接口的一個方向上,只能應用1個access-list
儘量把ACL應用到入口上,比出口效率高!