ACL (Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包,ACL是最基本的网络安全手段,工作中经常会用,ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。 访问控制列表分为两种类型: 1.标准访问控制列表:检查被路由数据包的源地址、1~99代表号 2.扩展访问控制列表:对数据包的源地址与目标地址进行检查。 访问控制列表最常见的用途是作为数据包的过滤器。 其他用途;可指定某种类型的数据包的优先级,以对某些数据包优先处理 识别触发按需拨号路由(DDR)的相关通信量 路由映射的基本组成部分 ACL能够用来: 提供网络访问的基本安全手段 访问控制列表可用于Qos(QualityofService,服务质量)对数据流量进行控制。 可指定某种类型的数据包的优先级,以对某些数据包优先处理起到了限制网络流量,减少网络拥塞 的作用 提供对通信流量的控制手段 访问控制列表对本身产生的的数据包不起作用,如一些路由更新消息 路由器对访问控制列表的处理过程: (1)如果接口上没有ACL,就对这个数据包继续进行常规处理 (2)如果对接口应用了访问控制列表,与该接口相关的一系列访问控制列表语句组合将会检测它: *若第一条不匹配,则依次往下进行判断,直到有一条语句匹配,则不再继续判断。 路由器将决定该数据包允许通过或拒绝通过 *若最后没有任一语句匹配,则路由器根据默认处理方式丢弃该数据包。 *基于ACL的测试条件,数据包要么被允许,要么被拒绝。 (3)访问控制列表的出与入, 使用命令ipaccess-group,可以把访问控制列表应用到某一个接口上。 in或out指明访问控制列表是对近来的,还是对出去的数据包进行控制 【在接口的一个方向上,只能应用1个access-list】 路由器对进入的数据包先检查入访问控制列表,对允许传输的数据包才查询路由表 而对于外出的数据包先检查路由表,确定目标接口后才检查看出访问控制列表 ====================================================================== 应该尽量把放问控制列表应用到入站接口,因为它比应用到出站接口的效率更高: 将要丢弃的数据包在路由器惊醒了路由表查询处理之前就拒绝它