access-list(访问控制列表)总结

access-list( 访问控制列表 ) 总结

 

ACL 的作用

　　

　　 ACL 可以限制网络流量、提高网络性能。例如， ACL 可以根据数据包的协议，指定数据包的优先级。

　　

　　 ACL 提供对通信流量的控制手段。例如， ACL 可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

　　

　　 ACL 是提供网络安全访问的基本手段。如图 1 所示， ACL 允许主机 A 访问人力资源网络，而拒绝主机 B 访问。

　　

　　 ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许 E-mail 通信流量被路由，拒绝所有的 Telnet 通信流量。

ACL 的配置

　　

　　 ACL 的配置分为两个步骤：

　　

　　第一步 : 在全局配置模式下，使用下列命令创建 ACL ：

　　

　　 Router (config)# access-list access-list-number {permit | deny } {test-conditions}

　　

　　其中， access-list-number 为 ACL 的表号。人们使用较频繁的表号是标准的 IP ACL （ 1 ― 99 ）和扩展的 IP ACL （ 100 － 199 ）。

第二步：在接口配置模式下，使用 access-group 命令 ACL 应用到某一接口上：

　　

　　 Router (config-if)# {protocol} access-group access-list-number {in | out }

　　

　　其中， in 和 out 参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为 out 。

ACL 在一个接口可以进行双向控制，即配置两条命令，一条为 in ，一条为 out ，两条命令执行的 ACL 表号可以相同，也可以不同。但是，在一个接口的一个方向上，只能有一个 ACL 控制。

值得注意的是，在进行 ACL 配置时，网管员一定要先在全局状态配置 ACL 表，再在具体接口上进行配置，否则会造成网络的安全隐患。

访问控制列表使用目的：

　　 1 、限制网络流量、提高网络性能。例如队列技术，不仅限制了网络流量，而且减少了拥塞

　　 2 、提供对通信流量的控制手段。例如可以用其控制通过某台路由器的某个网络的流量

　　 3 、提供了网络访问的一种基本安全手段。例如在公司中，允许财务部的员工计算机可以访问财务服务器而拒绝其他部门访问财务服务器

　　 4 、在路由器接口上，决定某些流量允许或拒绝被转发。例如，可以允许 FTP 的通信流量，而拒绝 TELNET 的通信流量。

　　工作原理：

　　 ACL 中规定了两种操作，所有的应用都是围绕这两种操作来完成的：允许、拒绝

　　注意： ACL 是 CISCO IOS 中的一段程序，对于管理员输入的指令，有其自己的执行顺序，它执行指令的顺序是从上至下，一行行的执行，寻找匹配，一旦匹配则停止继续查找，如果到末尾还未找到匹配项，则执行一段隐含代码――丢弃 DENY. 所以在写 ACL 时，一定要注意先后顺序。

ACL 是一组判断语句的集合，它主要用于对如下数据进行控制：

　　 1 、入站数据；

　　 2 、出站数据；

　　 3 、被路由器中继的数据

因为标准的 ACL 只能针对源进行控制，如果把它放在离源最近的地方，那么就会造成不必要的数据包丢失的情况，一般将标准 ACL 放在离目标最近的位置 .

简单比较以下标准和扩展 ACL

　　标准 ACL 仅仅只针对源进行控制

　　扩展 ACL 可以针对某种协议、源、目标、端口号来进行控制

　　从命令行就可看出

　　标准：

　　 Router （ config ） #access-list list-number

　　扩展：

　　 Router （ config ） #access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]

　　 Protocol ―用来指定协议类型，如 IP 、 TCP 、 UDP 、 ICMP 以及 IGRP 等

　　 Source and destination ―源和目的，分别用来标示源地址及目的地址

　　 Source-mask and destination-mask ―源和目的的通配符掩码

　　 Operator operand ― It ， gt ， eq ， neq （分别是小于、大于、等于、不等于）和一个端口号

　　 Established ―如果数据包使用一个已建连接（例如，具有 ACK 位组），就允许 TCP 信息通过

ACL 不能对穿越路由器的广播流量作出有效控制。

ACL 的另一个作用，那就是过滤穿越路由器的流量。这里要注意了，是“穿越”路由器的流量才能被 ACL 来作用，但是路由器本身产生的流量，比如路由更新报文等， ACL 是不会对它起任何作用的：因为 ACL 不能过滤由路由器本身产生的流量 . 为了避免过多的查表，所以扩展 ACL 一般放置在离源最近的地方。