一、ACL能夠用來：提供網絡訪問的基本安全手段。訪問控制列表可用于Qos（Quality of Service,服務質量）對數(shù)據流量進行控制。可指定某種類型的數(shù)據包的優(yōu)先級，以對某些數(shù)據包優(yōu)先處理 起到了限制網絡流量，減少網絡擁塞的作用。

二、訪問控制列表對本身產生的的數(shù)據包不起作用，如一些路由更新消息路由器對訪問控制列表的處理過程：
1、如果接口上沒有ACL，就對這個數(shù)據包繼續(xù)進行常規(guī)處理。
2、如果對接口應用了訪問控制列表，與該接口相關的一系列訪問控制列表語句組合將會檢測它：
（1）若第一條不匹配，則依次往下進行判斷，直到有一條語句匹配，則不再繼續(xù)判斷，路由器將決定該數(shù)據包允許通過或拒絕通過。
（2）若最后沒有任一語句匹配，則路由器根據默認處理方式丟棄該數(shù)據包，基于ACL的測試條件，數(shù)據包要么被允許，要么被拒絕。
（3）訪問控制列表的出與入，使用命令ip access-group，可以把訪問控制列表應用到某一個接口上。in或out指明訪問控制列表是對近來的，還是對出去的數(shù)據包進行控制，路由器對進入的數(shù)據包先檢查入訪問控制列表，對允許傳輸?shù)臄?shù)據包才查詢路由表。

三、應該盡量把放問控制列表應用到入站接口，因為它比應用到出站接口的效率更高：將要丟棄的數(shù)據包在路由器驚醒了路由表查詢處理之前就拒絕它。

四、這里的語句通過訪問列表表號來識別訪問控制列表。此號還指明了訪問列表的類別。
1、創(chuàng)建訪問控制列表
access-list  1 deny 172.16.4.13 0.0.0.0(標準的訪問控制列表)
access-list 1 permit 172.16.0.0 0.0.255.255(允許網絡172.16.0.0)的所有流量通過
access-list 1 permit 0.0.0.0 255.255.255.255(允許任何流量通過，如過沒有 只允許172.16.0.0的流量通過。
2、應用到接口E0的出口方向上：
interface fastehernet 0/0
ip access-group 1 out  (把ACL綁定到接口)
3、刪除一個訪問控制列表，首先在接口模式下輸入命令：no ip access-group，然后在全局模式下輸入命令no access-list并帶上它的全部參數(shù)。

五、標準IP訪問列表只對源IP地址進行過濾。擴展訪問控制列表不僅過濾源IP地址，還可以對目的IP地址、源端口、目的端口進行過濾，盡量把擴展ACL應用在距離要拒絕通信流量的來源最近的地方，以減少不必要的通信流量，最好把標準的ACL應用在離目的地最近的地方標準的ACL根據數(shù)據包的源IP地址來允許或拒絕數(shù)據包。

六、擴展ACL中，命令access-list的完全語法格式如下：
Router(config)#access-list access-list-number {permit|deny} protocol [source source-wildcard destination destination-wildcard ]；
[operator operan ] [established] [log]；
access-list-number 訪問控制列表表號 100~199；
permit|deny 表示在滿足測試條件的情況下，該入口是允許還是拒絕后面指定地址的通信流量；
protocol 用來指定協(xié)議類型，如IP\TCP\UDP\ICMP\GRE\IGRP；
source destination  源和目的，分別用來標識源地址和目的地址；
source-wildcard、destination-wildcard 反碼；
operator operan lt(小于)、gt(大于)、eq(等于)、neq(不等于)、和一個端口號；
established 如果數(shù)據包使用一個已建立連接。便可以允許Tcp信息量通過。
命名訪問控制列表可以使用一個字母數(shù)字組合的字符代替前面所使用的數(shù)字來表示ACL,稱為命名ACL，可以在下列情況下使用命名ACL需要通過一個字母數(shù)字串組成的名字來直觀的表示特定的ACL對于某一方面給定的協(xié)議,在同一路由器上,有超過99個的標準ACL或者有超過100個的擴展ACL需要配置。

最新評論