ACL访问控制列表

《ACL访问控制列表》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、一、ACL简介Accesscontrollist访问控制列表数据分类工具：区分流向网络设备的数据流，基于特定数据流的特征区分数据特征：源IP源、目标IP协议号端口号其他一些信息ACL使用目的：区分数据以便统一执行规定的动作包过滤：定义丢弃或放通的数据特征。丢弃一些数据；放通另外一些数据。NAT：定义要转换的地址。IPSec/VPN：定义要加密的数据QoS：区分不同的业务数据路由策略：定义要控制的路由按需拨号；定义感兴趣的流量ACL分类：标准ACL：基于源IP进行分类；编号1~99扩展ACL：基于源IP、目标IP、协议号、端口号、应用层；编号100~

2、199命名ACL：就是把编号取代为名字，并用关键字区分标准或扩展。二、包过滤：通过定义数据的特征，丢弃/放通一些数据在特定的设备，特定的接口，特定的方向上绑定人口ACL：针对从该接口进入的数据进行包过滤出口ACL：针对从该接口离开该设备的数据进行包过滤针对特定的一个接口，一个协议，一个方向上只能使用一个ACLACL默认不控制自己产生的数据路由器处理数据包的流程：ACL前：接口收到数据，还原成二层帧基于目标IP查找路由表，找到出口针对出口完成二层重写并封装ACL后：人口ACL：接口收到数据，还原成二层帧首先进行基于ACL的包过滤被放通的数据查找路由表

3、找出口基于出口完成二层重写出口ACL：接口收到数据，还原成二层帧基于目标IP查找路由表，找出口如果接口有出口ACL，则进行包过滤允许的数据基于出口完成二层重写三、ACL的基本原则ACL的语句由两部分组成：条件、操作Access‐list23permit192.168.1.80.0.0.0在包过滤中首先检测数据是否符合条件，如果符合条件则执行规定的操纵动作。ACL由ACL号绑定多条语句匹配顺序：先上后下执行查找CiscoACL缺省有一条隐藏语句：Denyany；DenyanyanyDeny0.0.0.0255.255.255.255ACL的语句书写顺

4、序决定执行顺序细化的、经常匹配的放在前面、粗略的放在后面标准IP访问列表（1‐99，1300‐1999）：只使用SIP信息来过滤决定。扩展IP访问列表（100‐199，2000‐2699）：根据源和目的IP地址、源和目的端口、协议类型等信息作出过滤。不能单独删除ACL中的某些语句命名ACL支持单独删除ACL中的某条语句ACL对CPU有一定的考验~四、ACL的基本配置保证基本的连通性定义数据的特征及相应的操作Access‐list[#]permit/deny源IP通配符在接口上调用ACLIpaccess‐groupacl#in/out命名方式ACL：

5、Ipaccess‐liststandard/extendccnpConfig‐acl#permit#ordeny#可以针对特定的语句进行添加、删除在接口上调用命名ACLIpaccess‐groupccnpin/out自反ACL带Established选项的ACL检查TCP头部中的Ack或Rst位，如果该位置1则