一、认识ACL
A、访问控制列表(ACL)是应用在路由器接口的指令列表。随着网络应用及技术的日益发展,在一些核心的路由交换机,甚至边缘交换机上也应用了这一技术,以期在网络的各个部分实现分布式的有效的控制。ACL 指令列表用来告诉路由器(交换机)哪些数据报可以接收、哪一些需要拒绝。至于是接收还是被拒绝,可以由类似源地址、目的地址、端口号等的特定条件来决定。
B、ACL 通过在访问控制列表中对目的地址进行归类,来管理通信流量和处理待定的数据包。归类处理每个特定接口的 ACL ,从而通过该接口的所有通信流量都要按照 ACL 所指定的条件接受检测。
C、ACL 适用于所有的路由协议。当这些协议的数据包经过路由器(交换机)时,都可以利用 ACL 来过滤它们。可以在路由器(交换机)上配置 ACL ,用来控制对某一网络或子网的访问。ACL通过在路由器(交换机)接口处控制数据包是被转发还是被阻塞来过滤网络通信流量。路由器(交换机)根据 ACL 中指定的条件来检测通过的每个数据包。这个条件既可以是数据包的源地址,也可以是目的地址,还可以是上层协议或其他因素。ACL 的定义是基于所有协议的。换言之,如果想要控制某种协议的通信数据流,那么必须要对该接口处的这种协议定义单独的 ACL(对有些协议来说,ACL 就像一个过滤器)。例如,要把路由器(交换机)接口配置成支持3种协议,那么你至少要定义3个访问控制列表。通过灵活的增加访问控制列表,ACL 可以当作一种网络控制的有力工具,用来过滤进出路由器(交换机)接口的数据包。建立 ACL 可以用来 :
1、限制网络流量,提高网络性能
2、 提供对网络流量的控制手段
3、提供网络访问的基本安全手段
4、在路由器接口处,