ACL访问控制列表工作原理

ACL访问控制列表工作原理

一．ACL访问控制列表工作原理：

1.控制语句从上向下一次执行。（我的理解是：路由器从列表的第一个开始执行，没有匹配成功，然后在向下执行，直到匹配成功。）

2.一旦匹配上某一条语句，就不再进行后续的匹配。（我的理解是：路由器从列表的第一个开始匹配，如果匹配成功，路由器就不再进行排查匹配。如果匹配不成功，路由器再进行排查匹配，直到匹配成功，路由器就不再进行排查匹配。）

3.列表最后一行是默认中隐含了一条“拒绝所有”。（ 我的理解是：路由器从列表的第一个开始匹配，列表中所有的都不匹配，就默认最后一行执行匹配。）

二．ACL访问控制列表工作解析。

1.以数据的流向作为参照，到达接口的叫做in，离开接口的叫做out。

（我的理解是：如图，sw1的f0/0接口向R1的f0/1接口方向传输，说明了向R1的f0/1接口是接近，是in。 R2的f0/0接口向R1的f0/0接口方向传输，说明了R2的f0/0接口是在远离，是out。）

2.我所学习有其中的三大列表：

（1）.标准列表：列表号为1—99，标准列表只能给源IP字段进行控制。 标准列表应该尽量应用在靠近目标的位置。

（2）.扩展列表：列表号为99—199， 扩展列表可以根据源IP、目标IP以及端口号做控制。

（3）.命名列表：可以给据命名列表所取的名字来做控制。他的优点是：可以在做好的命名列表中间插入一条或多条。

注意：路由器的任何一个接口，同一个方向最多只能有一个ACL。

转载于:https://blog.51cto.com/lweifu/1317266