access-list(訪問控制列表)總結
ACL的作用
ACL可以限制網絡流量、提高網絡性能。例如,ACL可以根據數據包的協議,指定數據包的優先級。
ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量。
ACL是提供網絡安全訪問的基本手段。如圖1所示,ACL允許主機A訪問人力資源網絡,而拒絕主機B訪問。
ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
ACL的配置
ACL的配置分爲兩個步驟:
第一步:在全局配置模式下,使用下列命令創建ACL:
Router (config)# access-list access-list-number {permit | deny } {test-conditions}
其中,access-list-number爲ACL的表號。人們使用較頻繁的表號是標準的IP ACL(1—99)和擴展的IP ACL(100-199)。
第二步:在接口配置模式下,使用access-group命令ACL應用到某一接口上:
Router (config-if)# {protocol} access-group access-list-number {in | out }
其中,in和out參數可以控制接口中不同方向的數據包,如果不配置該參數,缺省爲out。
ACL在一個接口可以進行雙向控制,即配置兩條命令,一條爲in,一條爲out,兩條命令執行的ACL表號可以相同,也可以不同。但是,在一個接口的一個方向上,只能有一個ACL控制。
值得注意的是,在進行ACL配置時,網管員一定要先在全局狀態配置ACL表,再在具體接口上進行配置,否則會造成網絡的安全隱患。
訪問控制列表使用目的:
1、限制網絡流量、提高網絡性能。例如隊列技術,不僅限制了網絡流量,而且減少了擁塞
2、提供對通信流量的控制手段。例如可以用其控制通過某臺路由器的某個網絡的流量
3、提供了網絡訪問的一種基本安全手段。例如在公司中,允許財務部的員工計算機可以訪問財務服務器而拒絕其他部門訪問財務服務器
4、在路由器接口上,決定某些流量允許或拒絕被轉發。例如,可以允許FTP的通信流量,而拒絕TELNET的通信流量。
工作原理:
ACL中規定了兩種操作,所有的應用都是圍繞這兩種操作來完成的:允許、拒絕
注意:ACL是CISCO IOS中的一段程序,對於管理員輸入的指令,有其自己的執行順序,它執行指令的順序是從上至下,一行行的執行,尋找匹配,一旦匹配則停止繼續查找,如果到末尾還未找到匹配項,則執行一段隱含代碼——丟棄DENY.所以在寫ACL時,一定要注意先後順序。
ACL是一組判斷語句的集合,它主要用於對如下數據進行控制:
1、入站數據;
2、出站數據;
3、被路由器中繼的數據
因爲標準的ACL只能針對源進行控制,如果把它放在離源最近的地方,那麼就會造成不必要的數據包丟失的情況,一般將標準ACL放在離目標最近的位置.
簡單比較以下標準和擴展ACL
標準ACL僅僅只針對源進行控制
擴展ACL可以針對某種協議、源、目標、端口號來進行控制
從命令行就可看出
標準:
Router(config)#access-list list-number
擴展:
Router(config)#access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]
Protocol—用來指定協議類型,如IP、TCP、UDP、ICMP以及IGRP等
Source and destination—源和目的,分別用來標示源地址及目的地址
Source-mask and destination-mask—源和目的的通配符掩碼
Operator operand—It,gt,eq,neq(分別是小於、大於、等於、不等於)和一個端口號
Established—如果數據包使用一個已建連接(例如,具有ACK位組),就允許TCP信息通過
ACL不能對穿越路由器的廣播流量作出有效控制。
ACL的另一個作用,那就是過濾穿越路由器的流量。這裏要注意了,是“穿越”路由器的流量才能被ACL來作用,但是路由器本身產生的流量,比如路由更新報文等,ACL是不會對它起任何作用的:因爲ACL不能過濾由路由器本身產生的流量.爲了避免過多的查表,所以擴展ACL一般放置在離源最近的地方。