1.基本概念
訪問(wèn)控制列表是應(yīng)用在路由器接口的指令列表���,這些指令列表用來(lái)告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕����。
2.基本功能
(1)限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能�。例如,ACL可以根據(jù)數(shù)據(jù)包的協(xié)議���,指定這種類型的數(shù)據(jù)包具有更高的優(yōu)先級(jí)���,同等情況下可預(yù)先被網(wǎng)絡(luò)設(shè)備處理。
(2)提供對(duì)通信流量的控制手段���。
(3)提供網(wǎng)絡(luò)訪問(wèn)的基本安全手段����。
(4)在網(wǎng)絡(luò)設(shè)備接口處����,決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種類型的通信流量被阻塞�����。
3.基本作用
(1)提供網(wǎng)絡(luò)訪問(wèn)的基本安全手段;
(2)可用于QoS�����,控制數(shù)據(jù)流量��;
QoS(服務(wù)質(zhì)量)指一個(gè)網(wǎng)絡(luò)能夠利用各種基礎(chǔ)技術(shù)�,為指定的網(wǎng)絡(luò)通信提供更好的服務(wù)能力, 是網(wǎng)絡(luò)的一種安全機(jī)制���, 是用來(lái)解決網(wǎng)絡(luò)延遲和阻塞等問(wèn)題的一種技術(shù)���。 在正常情況下,如果網(wǎng)絡(luò)只用于特定的無(wú)時(shí)間限制的應(yīng)用系統(tǒng)�����,并不需要QoS���,比如Web應(yīng)用���,或E-mail設(shè)置等���。但是對(duì)關(guān)鍵應(yīng)用和多媒體應(yīng)用就十分必要。當(dāng)網(wǎng)絡(luò)過(guò)載或擁塞時(shí)����,QoS 能確保重要業(yè)務(wù)量不受延遲或丟棄,同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行��。
(3)控制通信量���;
(4)使用ACL阻止某指定網(wǎng)絡(luò)訪問(wèn)另一指定網(wǎng)絡(luò)�����;
4.基本原理
實(shí)現(xiàn)訪問(wèn)控制列表的核心技術(shù)是包過(guò)濾����,通過(guò)分析IP數(shù)據(jù)包包頭信息�����,進(jìn)行判斷(這里IP所承載的上層協(xié)議為TCP)����;
從下圖中可以看出����,通過(guò)訪問(wèn)控制列表可以實(shí)現(xiàn)公司總部與辦事處之間的聯(lián)通����;但是未授權(quán)的用戶是無(wú)法訪問(wèn)到公司總部的。從而提高了網(wǎng)絡(luò)訪問(wèn)的安全性�����。
5.工作過(guò)程
(1)訪問(wèn)控制列表的工作過(guò)程
訪問(wèn)數(shù)據(jù)到達(dá)訪問(wèn)控制列表接口的數(shù)據(jù)包逐條對(duì)比信息��,若訪問(wèn)控制列表中的信息與輸入的信息相符����,則根據(jù)規(guī)則允許或拒絕信息的通過(guò)�;若訪問(wèn)控制列表中的信息與輸入的信息不符,則拒絕信息的通過(guò)����。
(2)訪問(wèn)控制列表的入口規(guī)則
當(dāng)數(shù)據(jù)包進(jìn)入到接口時(shí),首先判斷接口上是否存在訪問(wèn)控制列表��,若接口不存在ACL,則直接轉(zhuǎn)發(fā)數(shù)據(jù)���;若接口上存在ACL�,則比較ACL中的列表信息�����,若與ACL列表相符則根據(jù)規(guī)則處理數(shù)據(jù)信息���,若與ACL列表不相符則根據(jù)規(guī)則丟棄數(shù)據(jù)信息��。
(3)訪問(wèn)控制列表的出口規(guī)則
當(dāng)數(shù)據(jù)經(jīng)過(guò)路由器的接口向外轉(zhuǎn)發(fā)時(shí)����,首先查看路由表的信息�����,是否有到達(dá)目的段的路由信息或默認(rèn)路由信息����,若無(wú)則丟棄數(shù)據(jù),若有則檢測(cè)接口上的ACL列表信息����。首先判斷接口上是否存在訪問(wèn)控制列表����,若接口不存在ACL�����,則直接轉(zhuǎn)發(fā)數(shù)據(jù)����;若接口上存在ACL,則比較ACL中的列表信息����,若與ACL列表相符則根據(jù)規(guī)則處理數(shù)據(jù)信息�����,若與ACL列表不相符則根據(jù)規(guī)則丟棄數(shù)據(jù)信息�����。
6.ACL列表的基本命令
第一步創(chuàng)建訪問(wèn)控制列表�;
Router(config)#access-list
access-list-number {permit|deny} {test conditions}
(1)Access-list是ACL列表的關(guān)鍵詞;
(2)access-list-number是ACL列表的序號(hào);1-99為標(biāo)準(zhǔn)訪問(wèn)控制列表的編號(hào)���;100-199為擴(kuò)展訪問(wèn)控制列表的編號(hào)��;
(3)permit允許數(shù)據(jù)包通過(guò)應(yīng)用了訪問(wèn)控制列表的接口�����;
(4)deny 拒絕數(shù)據(jù)包通過(guò)�����;
第二步應(yīng)用到接口上
Router(config)#interface接口編號(hào) //進(jìn)入相應(yīng)的接口
Router(config-if)#ip access-group access-list-number
{in|out} //應(yīng)用到接口的出口或入口方向��;
規(guī)則:通配符:
(1)any等價(jià)于0.0.0.0 255.255.255.255
access-list 1
permit 0.0.0.0 255.255.255.255 含義:允許所有信息通過(guò)該接口�。
access-list 1
permit any 含義:允許所有信息通過(guò)該接口����。
(2)host +
IP地址 允許某一個(gè)固定的主機(jī)通過(guò)該接口
access-list 1
permit 172.16.30.1 0.0.0.0 含義:允許IP地址為172.16.30.1的主機(jī)通過(guò)該接口;
access-list 1
permit host 172.16.30.1 含義:允許IP地址為172.16.30.1的主機(jī)通過(guò)該接口����;
7.訪問(wèn)控制列表的分類
目前有三種主要的ACL:標(biāo)準(zhǔn)ACL、擴(kuò)展ACL及命名ACL����。其他的還有標(biāo)準(zhǔn)MAC ACL�����、時(shí)間控制ACL�、以太協(xié)議 ACL �、IPv6 ACL等。
標(biāo)準(zhǔn)的ACL使用 1
~ 99 以及1300~1999之間的數(shù)字作為表號(hào)���,擴(kuò)展的ACL使用 100 ~ 199以及2000~2699之間的數(shù)字作為表號(hào)��。
標(biāo)準(zhǔn)ACL可以阻止來(lái)自某一網(wǎng)絡(luò)的所有通信流量����,或者允許來(lái)自某一特定網(wǎng)絡(luò)的所有通信流量����,或者拒絕某一協(xié)議簇(比如IP)的所有通信流量���。
擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍����。例如,網(wǎng)絡(luò)管理員如果希望做到"允許外來(lái)的Web通信流量通過(guò)��,拒絕外來(lái)的FTP和Telnet等通信流量"��,那么���,他可以使用擴(kuò)展ACL來(lái)達(dá)到目的���,標(biāo)準(zhǔn)ACL不能控制這么精確。
8.ACL的工作原則
記住 3P 原則�����,您便記住了在路由器上應(yīng)用 ACL 的一般規(guī)則��。您可以為每種協(xié)議 (per protocol)���、每個(gè)方向 (per direction)�����、每個(gè)接口 (per interface) 配置一個(gè) ACL:
每種協(xié)議一個(gè) ACL:要控制接口上的流量�,必須為接口上啟用的每種協(xié)議定義相應(yīng)的 ACL����。
每個(gè)方向一個(gè) ACL :一個(gè)ACL 只能控制接口上一個(gè)方向的流量��。要控制入站流量和出站流量���,必須分別定義兩個(gè) ACL。
每個(gè)接口一個(gè) ACL :一個(gè)ACL 只能控制一個(gè)接口(例如快速以太網(wǎng)0/0)上的流量����。
