ACL

随着大规模网络的发展,网络面临的威胁越来越多。而ACL是实现网络安全的基本技术之一。

ACL访问控制列表

功能:

1)限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定这种类型的数据包具有更高的优先级,同等情况下可预先被网络设备处理。
2)提供对通信流量的控制手段。
3)提供网络访问的基本安全手段。
4)在网络设备接口处,决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

分类:
①标准ACL
要点:
一 ACL定义好以后可以在很多地方使用,接口,route map 中的match 和vty 下用access-class命令调用,用来控制telnet的访问
二 从上至下依次匹配,一旦匹配成功不再进行查询往下,末尾隐藏拒绝所有
三 每一个路由器接口的每一个方向,每一种协议只能创建一个ACL
四 靠近目标的位置调用

ACL_第1张图片

②扩展ACL
尽量放在源的位置,这样就不会应影响其他接口的数据,靠近源的话就会阻碍数据包流向其他端口

③命名ACL
方便增删放小号

④基于时间的ACL

⑤动态ACL

⑥自反ACL

自反ACL永远是permit的;
允许高层的session 信息的IP包过滤
利用自反ACL可以只允许出去的流量,但是阻止从外部网络产生的向内部网络的流量,可以更好的保护网络内部
自反ACL实在有流量时产生时临时自动产生的,并且当session结束时条目就删除;
自反ACL不是调用在某个接口下的,是嵌套在ACL列表里的

| ACL命令总汇

| show ip access-lists | 查看所定义的访问控制列表 |
| clear access-list counters | 将访问控制列表计数器清零 |
| access-list | 定义ACL |
| ip access-group | 在接口下调用ACL |
| access-class | 在VTY下调用ACL |
| ip access-list | 定义命名的ACL |
| time-range time | 定义时间范畴 |
| username 888 password 888 | 建立本地数据库 |
| auto ommand | 定义自动执行命令 |

你可能感兴趣的:(ACL)