ACL(访问控制列表):是应用在路由器接口的指令列表。
其基本原理:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。
ACL可以分为以下两种基本类型:
1、标准访问控制列表:检查数据包的源地址。其结果基于源网络/子网/主机IP地址,来决定允许还是拒绝转发数据包。它实行1~99之间的数字作为代表。
2:扩展访问控制列表:对数据包的源地址与目标地址均进行检查。它也能建厂特定的协议、端口号以及其他参数。它使用1~199之间的数字作为表号。
访问控制列表的工作原理:
ACL是一簇规则的集合,它应用在路由的某个接口上。对路由器而言,访问控制列表有两个方向:
出:已经过路由的处理,正离开路由接口的数据包。
入:已到达路由器接口的数据包,将被路由处理。
如果对接口应用了访问控制列表,也就是说该组应用了一组规则,那么路由器将对数据包应用该组规则进行顺序检查。
·如果匹配第一条规则,则不在往下检查,路由器将决定该数据包允许通过或拒绝通过。
·如果不匹配第一条规则,则依次往下检查,知道有任何一条规则配备,路由器将决定该数据包允许通过汇拒绝通过。
·如果没有任何一条规则匹配则路由器根据默认规则将该数据包。
数据包要么被允许,要么被拒绝。
在ACL中,规则的放置顺序是很重要的。一旦找到了某一匹配规则,就结束比较过程,不再检查以后的其他规则。
访问控制列表的类型:
1、标准访问控制列表:标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包。标准访问控制列表的访问控制列表号是1~99。
2、扩展访问控制列表:扩展访问控制列表根据数据包的源IP地址。目的IP地址、指定协议、端口和标志来允许或拒绝数据包。扩展访问控制列表的是100~199。
3、命名访问控制列表:命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。
4、定时访问控制列表:定时访问控制列表提供基于时间的附加控制特性,定义在什么时间允许或拒绝数据包。
转载于:https://blog.51cto.com/605882219/813128
来源:CSDN
作者:weixin_34212762
链接:https://blog.csdn.net/weixin_34212762/article/details/92762184