ACL

允许、拒绝数据包通过路由器
允许、拒绝Telnet会话的建立
没有设置访问列表时,所有的数据包都会在网络上传输

流量:1、穿越流量2、管理流量

ACL控制这两种流量。

穿越流量:穿越路由器的流量
管理流量:Telnet管理路由器

数据包:

应用层(数据)
传输层(源PORT,目的PORT)
网络层(协议,源IP,目的IP)
数据链路层(目的MAC,源MAC,类型)

ACL只能控制应用层下的三层

ACL分为四种控制方式:

1、标准ACL(源IP)
2、扩展ACL(五要素)
3、二层ACL(源MAC,目的MAC)
4、自定义ACL(60个字节)‘思科设备没有此命令

什么是访问列表

标准
检查源地址
通常允许、拒绝的是完整的协议
扩展
检查源地址和目的地址
通常允许、拒绝的是某个特定的协议

进方向和出方向
进出方向是站在路由器上面来定义的:
针对一个数据包,站在路由器上来看,例如一个NAT的数据包从源发往目标(即内网到外网),进入路由器的口我们称为进口,数据包从路由器出去的口称为出口。

ACL算法
因为ACL算法是固定的,因此,ACL在拦截检查数据包的时候只取数据包的固定长度进行检查处理。

工作原理:

数据包进入路由器,首先在进端口出查看是否配置有ACL,有则进行ACL数据过滤处理,无则查看路由表中的路由条目继续向符合该规则的端口流走,再查看是否配置有ACL,进行数据过滤处理,达到访问控制的手段。如果数据包符合ACL配置的条件,则进行相应的操作。比如:允许通过,或者拒绝数据通过丢弃该数据包。

访问控制列表可以有多个条件:
一个访问控制列表可以有多个条件。

ACL在检查访问控制列表条目的顺序是从第一行条目向下查找,如果命中条件,则执行相应的动作,不再向下查找,所以在配置拒绝所有的时候应该将ACL拒绝放在最下行。即最最后敲拒绝所有的命令(denyany)。当然,允许也应该敲在最下行。这样才能达到控制的目的。