平特心水报图
新網絡營銷基礎與實踐

你的位置:首頁 >網絡營銷 >ACL

ACL

訪問控制列表(Access Control List,ACL) 是路由器和交換機接口的指令列表,用來控制端口進出的數據包。ACL適用于所有的被路由協議,如IP、IPX、AppleTalk等。這張表中包含了匹配關系、條件和查詢語句,表只是一個框架結構,其目的是為了對某種訪問進行控制。

ACL介紹

  信息點間通信和內外網絡的通信都是企業網絡中必不可少的業務需求,但是為了保證內網的安全性,需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源,從而達到對訪問進行控制的目的。簡而言之,ACL可以過濾網絡中的流量,是控制訪問的一種網絡技術手段。

  ACL的定義也是基于每一種協議的。如果路由器接口配置成為支持三種協議(IP、AppleTalk以及IPX)的情況,那么,用戶必須定義三種ACL來分別控制這三種協議的數據包。

ACL的作用

  ACL可以限制網絡流量、提高網絡性能。例如,ACL可以根據數據包的協議,指定數據包的優先級。

  ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量。

  ACL是提供網絡安全訪問的基本手段。ACL允許主機A訪問人力資源網絡,而拒絕主機B訪問。

  ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。

  例如:某部門要求只能使用 WWW 這個功能,就可以通過ACL實現; 又例如,為了某部門的保密性,不允許其訪問外網,也不允許外網訪問它,就可以通過ACL實現。

ACL 3p原則

  記住 3P 原則,您便記住了在路由器上應用 ACL 的一般規則。您可以為每種協議 (per protocol)、每個方向 (per direction)、每個接口 (per interface) 配置一個 ACL:

  每種協議一個 ACL 要控制接口上的流量,必須為接口上啟用的每種協議定義相應的 ACL。

  每個方向一個 ACL 一個 ACL 只能控制接口上一個方向的流量。要控制入站流量和出站流量,必須分別定義兩個 ACL。

  每個接口一個 ACL 一個 ACL 只能控制一個接口(例如快速以太網 0/0)上的流量。

  ACL 的編寫可能相當復雜而且極具挑戰性。每個接口上都可以針對多種協議和各個方向進行定義。示例中的路由器有兩個接口配置了 IP、AppleTalk 和 IPX。該路由器可能需要 12 個不同的 ACL — 協議數 (3) 乘以方向數 (2),再乘以端口數 (2)。

ACL的執行過程

  一個端口執行哪條ACL,這需要按照列表中的條件語句執行順序來判斷。如果一個數據包的報頭跟表中某個條件判斷語句相匹配,那么后面的語句就將被忽略,不再進行檢查。

  數據包只有在跟第一個判斷條件不匹配時,它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配(假設為允許發送),則不管是第一條還是最后一條語句,數據都會立即發送到目的接口。如果所有的ACL判斷語句都檢測完畢,仍沒有匹配的語句出口,則該數據包將視為被拒絕而被丟棄。這里要注意,ACL不能對本路由器產生的數據包進行控制。

ACL的分類

  目前有兩種主要的ACL:標準ACL和擴展ACL。其他的還有標準MAC ACL、時間控制ACL、以太協議 ACL 、IPv6 ACL等。

  標準的ACL使用 1 ~ 99 以及1300~1999之間的數字作為表號,擴展的ACL使用 100 ~ 199以及2000~2699之間的數字作為表號。

  標準ACL可以阻止來自某一網絡的所有通信流量,或者允許來自某一特定網絡的所有通信流量,或者拒絕某一協議簇(比如IP)的所有通信流量。

  擴展ACL比標準ACL提供了更廣泛的控制范圍。例如,網絡管理員如果希望做到“允許外來的Web通信流量通過,拒絕外來的FTP和Telnet等通信流量”,那么,他可以使用擴展ACL來達到目的,標準ACL不能控制這么精確。

  在標準與擴展訪問控制列表中均要使用表號,而在命名訪問控制列表中使用一個字母或數字組合的字符串來代替前面所使用的數字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目,這樣可以讓我們在使用過程中方便地進行修改。 在使用命名訪問控制列表時,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多個ACL,不同類型的ACL也不能使用相同的名字。

  隨著網絡的發展和用戶要求的變化,從IOS 12.0開始,思科(CISCO)路由器新增加了一種基于時間的訪問列表。通過它,可以根據一天中的不同時間,或者根據一星期中的不同日期,或二者相結合來控制網絡數據包的轉發。這種基于時間的訪問列表,就是在原來的標準訪問列表和擴展訪問列表中,加入有效的時間范圍來更合理有效地控制網絡。首先定義一個時間范圍,然后在原來的各種訪問列表的基礎上應用它。

  基于時間訪問列表的設計中,用time-range 命令來指定時間范圍的名稱,然后用absolute命令,或者一個或多個periodic命令來具體定義時間范圍。

ACL 常見問題

  1) “ACL 的最后一條語句都是隱式拒絕語句” 是什么意思?

  每個 ACL 的末尾都會自動插入一條隱含的 deny 語句,雖然ACL中看不到這條語句,它仍起作用。隱含的 deny 語句會阻止所有流量,以防不受歡迎的流量意外進入網絡。

  2) 配置ACL后為什么沒有生效?

  在創建訪問控制列表之后,必須將其應用到某個接口才可開始生效。ACL 控制的對象是進出接口的流量。

網絡營銷詞典內容均由網友提供,僅供參考。

平特心水报图 怎么打彩票才稳赚不赔 彩世界iOS下载 福利彩票www 后三组六稳赚方法8码 时时彩单双全天计划 pk10三码必中规律 浙江快乐彩技巧稳赚 吉林快3开将号走势图 十一选五买一个好稳赚技巧 大亨pk10专业版计划