access-list(访问控制列表)总结
ACL的作用
ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。如图1所示,ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
ACL的配置
ACL的配置分为两个步骤:
第一步:在全局配置模式下,使用下列命令创建ACL:
Router (config)# access-list access-list-number {permit | deny } {test-conditions}
其中,access-list-number为ACL的表号。人们使用较频繁的表号是标准的IP ACL(1—99)和扩展的IP ACL(100-199)。
第二步:在接口配置模式下,使用access-group命令ACL应用到某一接口上:
Router (config-if)# {protocol} access-group access-list-number {in | out }
其中,in和out参数可以控制接口中不同方向的数据包,如果不配置该参数,缺省为out。
ACL在一个接口可以进行双向控制,即配置两条命令,一条为in,一条为out,两条命令执行的ACL表号可以相同,也可以不同。但是,在一个接口的一个方向上,只能有一个ACL控制。
值得注意的是,在进行ACL配置时,网管员一定要先在全局状态配置ACL表,再在具体接口上进行配置,否则会造成网络的安全隐患。
访问控制列表使用目的:
1、限制网络流量、提高网络性能。例如队列技术,不仅限制了网络流量,而且减少了拥塞
2、提供对通信流量的控制手段。例如可以用其控制通过某台路由器的某个网络的流量
3、提供了网络访问的一种基本安全手段。例如在公司中,允许财务部的员工计算机可以访问财务服务器而拒绝其他部门访问财务服务器
4、在路由器接口上,决定某些流量允许或拒绝被转发。例如,可以允许FTP的通信流量,而拒绝TELNET的通信流量。
工作原理:
ACL中规定了两种操作,所有的应用都是围绕这两种操作来完成的:允许、拒绝
注意:ACL是CISCO IOS中的一段程序,对于管理员输入的指令,有其自己的执行顺序,它执行指令的顺序是从上至下,一行行的执行,寻找匹配,一旦匹配则停止继续查找,如果到末尾还未找到匹配项,则执行一段隐含代码——丢弃DENY.所以在写ACL时,一定要注意先后顺序。
ACL是一组判断语句的集合,它主要用于对如下数据进行控制:
1、入站数据;
2、出站数据;
3、被路由器中继的数据
因为标准的ACL只能针对源进行控制,如果把它放在离源最近的地方,那么就会造成不必要的数据包丢失的情况,一般将标准ACL放在离目标最近的位置.
简单比较以下标准和扩展ACL
标准ACL仅仅只针对源进行控制
扩展ACL可以针对某种协议、源、目标、端口号来进行控制
从命令行就可看出
标准:
Router(config)#access-list list-number
扩展:
Router(config)#access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]
Protocol—用来指定协议类型,如IP、TCP、UDP、ICMP以及IGRP等
Source and destination—源和目的,分别用来标示源地址及目的地址
Source-mask and destination-mask—源和目的的通配符掩码
Operator operand—It,gt,eq,neq(分别是小于、大于、等于、不等于)和一个端口号
Established—如果数据包使用一个已建连接(例如,具有ACK位组),就允许TCP信息通过
ACL不能对穿越路由器的广播流量作出有效控制。
ACL的另一个作用,那就是过滤穿越路由器的流量。这里要注意了,是“穿越”路由器的流量才能被ACL来作用,但是路由器本身产生的流量,比如路由更新报文等,ACL是不会对它起任何作用的:因为ACL不能过滤由路由器本身产生的流量.为了避免过多的查表,所以扩展ACL一般放置在离源最近的地方。