ACL
允許、拒絕數據包通過路由器
允許、拒絕Telnet會話的建立
沒有設置訪問列表時,所有的數據包都會在網絡上傳輸
流量:1、穿越流量2、管理流量
ACL控制這兩種流量。
穿越流量:穿越路由器的流量
管理流量:Telnet管理路由器
數據包:
應用層(數據)
傳輸層(源PORT,目的PORT)
網絡層(協議,源IP,目的IP)
數據鏈路層(目的MAC,源MAC,類型)
ACL只能控制應用層下的三層
ACL分爲四種控制方式:
1、標準ACL(源IP)
2、擴展ACL(五要素)
3、二層ACL(源MAC,目的MAC)
4、自定義ACL(60個字節)‘思科設備沒有此命令
什麼是訪問列表
標準
檢查源地址
通常允許、拒絕的是完整的協議
擴展
檢查源地址和目的地址
通常允許、拒絕的是某個特定的協議
進方向和出方向
進出方向是站在路由器上面來定義的:
針對一個數據包,站在路由器上來看,例如一個NAT的數據包從源發往目標(即內網到外網),進入路由器的口我們稱爲進口,數據包從路由器出去的口稱爲出口。
ACL算法
因爲ACL算法是固定的,因此,ACL在攔截檢查數據包的時候只取數據包的固定長度進行檢查處理。
工作原理:
數據包進入路由器,首先在進端口出查看是否配置有ACL,有則進行ACL數據過濾處理,無則查看路由表中的路由條目繼續向符合該規則的端口流走,再查看是否配置有ACL,進行數據過濾處理,達到訪問控制的手段。如果數據包符合ACL配置的條件,則進行相應的操作。比如:允許通過,或者拒絕數據通過丟棄該數據包。
訪問控制列表可以有多個條件:
一個訪問控制列表可以有多個條件。
ACL在檢查訪問控制列表條目的順序是從第一行條目向下查找,如果命中條件,則執行相應的動作,不再向下查找,所以在配置拒絕所有的時候應該將ACL拒絕放在最下行。即最最後敲拒絕所有的命令(denyany)。當然,允許也應該敲在最下行。這樣才能達到控制的目的。