acl使用包過濾技術,在路由器上讀取osi七層模型的第3層和第4層包頭中的資訊。如源位址,目標位址,源埠,目標埠等,根據預先定義好的規則,對包進行過濾,從而達到訪問控制的目的。
acl是一組規則的集合,它應用在路由器的某個介面上。對路由器介面而言,訪問控制列表有兩個方向。
出:已經過路由器的處理,正離開路由器的資料報。
入:已到達路由器介面的資料報。將被路由器處理。
如果對路由器的某介面應用了acl,那麼路由器對資料報應用該組規則進行順序匹配,使用匹配即停止的,不匹配則使用預設規則的方式來過濾資料報
基本acl (2000-2999) :只能匹配源ip位址。
高階acl (3000-3999) :可以匹配源ip、目標ip、源埠、目標埠等三層和四層的字段層
二層acl (4000-4999) :根據資料報的源mac位址、目的mac位址、802.1p優先順序、二層協議型別等二層資訊制定規則。
當acl處理資料報時,一旦資料報與某條acl語句匹配,則會跳過列表中剩餘的其他語句,根據該條匹配的語句內容決定允許或者拒絕該資料報。如果資料報內容與acl語句不匹配,那麼將依次使用acl列表中的下一條語句測試資料報。該匹配過程會一直繼續,直到抵達列表末尾。最後一條隱含的語句適用於不滿足之前任何條件的所有資料報。這條最後的測試條件與這些資料報匹配,通常會隱含拒絕一切資料報的指令。此時路由器不會讓這些資料進入或送出介面,而是直接丟棄。最後這條語句通常稱為隱式的「deny any」語句。由於該語句的存在,所以在acl中應該至少包含一條permit語句,否則,預設情況下,acl將阻止所有流量。
乙個介面的同乙個方向,只能有乙個acl
乙個acl裡可以有多個rule規則,按照規則id從小到大的順序,從上往下依次執行
資料報一旦被某個rule匹配,就不會再繼續向下匹配
用來做資料報訪問控制時,預設隱含放過所有(華為裝置)
訪問控制列表
使用 acl 的指導原則 命名 acl 為 acl 指定名稱 名稱中可以包含字母數字字元。建議名稱以大寫字母書寫。名稱中不能包含空格或標點,而且必須以字母開頭。您可以新增或刪除 acl 中的條目。acl 的最佳做法 注 使用 acl 時務必小心謹慎 關注細節。一旦犯錯可能導致代價極高的後果,例如停機...
訪問控制列表
1 acl access control list。訪問控制列表 是用來實現資料報識別功能的 2 acl可應用於諸多方面 包過濾防火牆功能 nat network address translation,網路位址轉換 qos quality of service,服務質量 的資料分類 路由策略和過濾...
ACL訪問控制列表
acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...