浅谈ACL实现机制
ACL实现机制
ACL可以匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口号等元素都可以作为ACL匹配对象,比如我路由器收到许许多多的数据报文,然后使用ACL把来自于PCA的数据包抓取出来,做进一步策略,其实就是匹配数据包源IP地址为PCA网卡IP的那些流量。比如抓取telnet流量然后丢弃掉,其实就是抓取TCP目的端口号为23的TCP流量,这是针对数据包的ACL抓取。
ACL还能用于匹配路由条目,比如路由器运行了RIP协议,收到许许多多的路由通告,这时只想收取部分路由更新,这时就可以使用ACL,把那些想要收的路由更新抓取,做进一步策略。
ACL的标识
利用数字标识访问控制列表
利用名称标识访问控制列表
在我们创建一个ACL的时候会给它赋予一个数字的标识,用来标识这个ACL,除了数字还有命名,比如我定义了一个2000的访问控制列表,这个列表的ID就是2000,既然是列表里面肯定包含很多规则,这就是ACL形态。假设在一台设备上,基于不同需求定义了很多访问控制列表,比如从2000-2010,如果想快速定位某一个规则就很痛苦,光从数字无法看出来,这时就有了另一种形式命名的方式,用有意义的名称来标识一个访问控制列表。两种都可取看自己选择。
列表的种类 |
---|