久久久国产精品,成人无码精品1区2区3区免费看,日韩男人天堂,午夜77777

ACL介紹
　　訪問控制列表（Access Control List，ACL） 是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個框架結(jié)構(gòu)，其目的是為了對某種訪問進行控制。 　　信息點間通信，內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。 　　ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來分別控制這三種協(xié)議的數(shù)據(jù)包。 　　[1]
[編輯本段]ACL的作用
　　ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級。 　　ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網(wǎng)段的通信流量。 　　ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL允許主機A訪問人力資源網(wǎng)絡(luò)，而拒絕主機B訪問。 　　ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。 　　例如：某部門要求只能使用 WWW 這個功能，就可以通過ACL實現(xiàn)； 又例如，為了某部門的保密性，不允許其訪問外網(wǎng)，也不允許外網(wǎng)訪問它，就可以通過ACL實現(xiàn)。
[編輯本段]ACL的執(zhí)行過程
　　一個端口執(zhí)行哪條ACL，這需要按照列表中的條件語句執(zhí)行順序來判斷。如果一個數(shù)據(jù)包的報頭跟表中某個條件判斷語句相匹配，那么后面的語句就將被忽略，不再進行檢查。 　　數(shù)據(jù)包只有在跟第一個判斷條件不匹配時，它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配（假設(shè)為允許發(fā)送），則不管是第一條還是最后一條語句，數(shù)據(jù)都會立即發(fā)送到目的接口。如果所有的ACL判斷語句都檢測完畢，仍沒有匹配的語句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。這里要注意，ACL不能對本路由器產(chǎn)生的數(shù)據(jù)包進行控制。
[編輯本段]ACL的分類
　　目前有兩種主要的ACL:標(biāo)準ACL和擴展ACL、通過命名、通過時間。 　　標(biāo)準的ACL使用 1 ~ 99 以及1300~1999之間的數(shù)字作為表號，擴展的ACL使用 100 ~ 199以及2000~2699之間的數(shù)字作為表號。 　　標(biāo)準ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。 　　擴展ACL比標(biāo)準ACL提供了更廣泛的控制范圍。例如，網(wǎng)絡(luò)管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他可以使用擴展ACL來達到目的，標(biāo)準ACL不能控制這么精確。 　　在標(biāo)準與擴展訪問控制列表中均要使用表號，而在命名訪問控制列表中使用一個字母或數(shù)字組合的字符串來代替前面所使用的數(shù)字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目，這樣可以讓我們在使用過程中方便地進行修改。 在使用命名訪問控制列表時，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多個ACL，不同類型的ACL也不能使用相同的名字。 　　隨著網(wǎng)絡(luò)的發(fā)展和用戶要求的變化，從IOS 12.0開始，思科（CISCO）路由器新增加了一種基于時間的訪問列表。通過它，可以根據(jù)一天中的不同時間，或者根據(jù)一星期中的不同日期，或二者相結(jié)合來控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。這種基于時間的訪問列表，就是在原來的標(biāo)準訪問列表和擴展訪問列表中，加入有效的時間范圍來更合理有效地控制網(wǎng)絡(luò)。首先定義一個時間范圍，然后在原來的各種訪問列表的基礎(chǔ)上應(yīng)用它。 　　基于時間訪問列表的設(shè)計中，用time-range 命令來指定時間范圍的名稱，然后用absolute命令，或者一個或多個periodic命令來具體定義時間范圍。[2]
[編輯本段]正確放置ACL
　　ACL通過過濾數(shù)據(jù)包并且丟棄不希望抵達目的地的數(shù)據(jù)包來控制通信流量。然而，網(wǎng)絡(luò)能否有效地減少不必要的通信流量，這還要取決于網(wǎng)絡(luò)管理員把ACL放置在哪個地方。 　　假設(shè)在的一個運行TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)只想拒絕從RouterA的T0接口連接的網(wǎng)絡(luò)到RouterD的E1接口連接的網(wǎng)絡(luò)的訪問，即禁止從網(wǎng)絡(luò)1到網(wǎng)絡(luò)2的訪問。 　　根據(jù)減少不必要通信流量的通行準則，網(wǎng)管員應(yīng)該盡可能地把ACL放置在靠近被拒絕的通信流量的來源處，即RouterA上。如果網(wǎng)管員使用標(biāo)準ACL來進行網(wǎng)絡(luò)流量限制，因為標(biāo)準ACL只能檢查源IP地址，所以實際執(zhí)行情況為：凡是檢查到源IP地址和網(wǎng)絡(luò)1匹配的數(shù)據(jù)包將會被丟掉，即網(wǎng)絡(luò)1到網(wǎng)絡(luò)2、網(wǎng)絡(luò)3和網(wǎng)絡(luò)4的訪問都將被禁止。由此可見，這個ACL控制方法不能達到網(wǎng)管員的目的。同理，將ACL放在RouterB和RouterC上也存在同樣的問題。只有將ACL放在連接目標(biāo)網(wǎng)絡(luò)的RouterD上（E0接口），網(wǎng)絡(luò)才能準確實現(xiàn)網(wǎng)管員的目標(biāo)。由此可以得出一個結(jié)論: 標(biāo)準ACL要盡量靠近目的端。 　　網(wǎng)管員如果使用擴展ACL來進行上述控制，則完全可以把ACL放在RouterA上，因為擴展ACL能控制源地址（網(wǎng)絡(luò)1），也能控制目的地址（網(wǎng)絡(luò)2），這樣從網(wǎng)絡(luò)1到網(wǎng)絡(luò)2訪問的數(shù)據(jù)包在RouterA上就被丟棄，不會傳到RouterB、RouterC和RouterD上，從而減少不必要的網(wǎng)絡(luò)流量。因此，我們可以得出另一個結(jié)論：擴展ACL要盡量靠近源端。ACL的主要的命令　命令描述access-list 定義訪問控制列表參數(shù)