什么是ACL?
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数
据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访
问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全
功能
限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定这种类型的数据包
具有更高的优先级,同等情况下可预先被网络设备处理。
提供对通信流量的控制手段。
提供网络访问的基本安全手段。
在网络设备接口处,决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。
例如,用户可以允许E- mail通信流量被路由,拒绝所有的Telnet通信流量。例如,某部门要求
只能使用WWW这个功能,就可以通过ACL实现;又例如,为了某部门的保密性,不允许其访问外
网,也不允许外网访问它,就可以通过ACL实现。
工作原理
①当一个数据报进入一个端口,路由器检查这个数据报是否可路由。如果是可以路由的,路
由器检查这个端口是否有ACL控制进入数据报。如果有,根据ACL中的条件指令,检查这个数据
报。如果数据报是被允许的,就查询路由表,决定数据报的目标端口。
②路由器检查目标端口是否存在ACL控制流出的数据报。若不存在,这个数据报就直接发送
到目标端口。若存在,就再根据ACL进行取舍。然后在转发到目的端口。
总