一、ACL能夠用來：提供網(wǎng)絡(luò)訪問的基本安全手段。訪問控制列表可用于Qos（Quality of Service,服務(wù)質(zhì)量）對數(shù)據(jù)流量進(jìn)行控制。可指定某種類型的數(shù)據(jù)包的優(yōu)先級，以對某些數(shù)據(jù)包優(yōu)先處理 起到了限制網(wǎng)絡(luò)流量，減少網(wǎng)絡(luò)擁塞的作用。

二、訪問控制列表對本身產(chǎn)生的的數(shù)據(jù)包不起作用，如一些路由更新消息路由器對訪問控制列表的處理過程：
1、如果接口上沒有ACL，就對這個數(shù)據(jù)包繼續(xù)進(jìn)行常規(guī)處理。
2、如果對接口應(yīng)用了訪問控制列表，與該接口相關(guān)的一系列訪問控制列表語句組合將會檢測它：
（1）若第一條不匹配，則依次往下進(jìn)行判斷，直到有一條語句匹配，則不再繼續(xù)判斷，路由器將決定該數(shù)據(jù)包允許通過或拒絕通過。
（2）若最后沒有任一語句匹配，則路由器根據(jù)默認(rèn)處理方式丟棄該數(shù)據(jù)包，基于ACL的測試條件，數(shù)據(jù)包要么被允許，要么被拒絕。
（3）訪問控制列表的出與入，使用命令ip access-group，可以把訪問控制列表應(yīng)用到某一個接口上。in或out指明訪問控制列表是對近來的，還是對出去的數(shù)據(jù)包進(jìn)行控制，路由器對進(jìn)入的數(shù)據(jù)包先檢查入訪問控制列表，對允許傳輸?shù)臄?shù)據(jù)包才查詢路由表。

三、應(yīng)該盡量把放問控制列表應(yīng)用到入站接口，因?yàn)樗葢?yīng)用到出站接口的效率更高：將要丟棄的數(shù)據(jù)包在路由器驚醒了路由表查詢處理之前就拒絕它。

四、這里的語句通過訪問列表表號來識別訪問控制列表。此號還指明了訪問列表的類別。
1、創(chuàng)建訪問控制列表
access-list  1 deny 172.16.4.13 0.0.0.0(標(biāo)準(zhǔn)的訪問控制列表)
access-list 1 permit 172.16.0.0 0.0.255.255(允許網(wǎng)絡(luò)172.16.0.0)的所有流量通過
access-list 1 permit 0.0.0.0 255.255.255.255(允許任何流量通過，如過沒有 只允許172.16.0.0的流量通過。
2、應(yīng)用到接口E0的出口方向上：
interface fastehernet 0/0
ip access-group 1 out  (把ACL綁定到接口)
3、刪除一個訪問控制列表，首先在接口模式下輸入命令：no ip access-group，然后在全局模式下輸入命令no access-list并帶上它的全部參數(shù)。

五、標(biāo)準(zhǔn)IP訪問列表只對源IP地址進(jìn)行過濾。擴(kuò)展訪問控制列表不僅過濾源IP地址，還可以對目的IP地址、源端口、目的端口進(jìn)行過濾，盡量把擴(kuò)展ACL應(yīng)用在距離要拒絕通信流量的來源最近的地方，以減少不必要的通信流量，最好把標(biāo)準(zhǔn)的ACL應(yīng)用在離目的地最近的地方標(biāo)準(zhǔn)的ACL根據(jù)數(shù)據(jù)包的源IP地址來允許或拒絕數(shù)據(jù)包。

六、擴(kuò)展ACL中，命令access-list的完全語法格式如下：
Router(config)#access-list access-list-number {permit|deny} protocol [source source-wildcard destination destination-wildcard ]；
[operator operan ] [established] [log]；
access-list-number 訪問控制列表表號 100~199；
permit|deny 表示在滿足測試條件的情況下，該入口是允許還是拒絕后面指定地址的通信流量；
protocol 用來指定協(xié)議類型，如IP\TCP\UDP\ICMP\GRE\IGRP；
source destination  源和目的，分別用來標(biāo)識源地址和目的地址；
source-wildcard、destination-wildcard 反碼；
operator operan lt(小于)、gt(大于)、eq(等于)、neq(不等于)、和一個端口號；
established 如果數(shù)據(jù)包使用一個已建立連接。便可以允許Tcp信息量通過。
命名訪問控制列表可以使用一個字母數(shù)字組合的字符代替前面所使用的數(shù)字來表示ACL,稱為命名ACL，可以在下列情況下使用命名ACL需要通過一個字母數(shù)字串組成的名字來直觀的表示特定的ACL對于某一方面給定的協(xié)議,在同一路由器上,有超過99個的標(biāo)準(zhǔn)ACL或者有超過100個的擴(kuò)展ACL需要配置。

最新評論