发布时间 : 星期二 文章IP通信基础实验总结更新完毕开始阅读2f457805f8c75fbfc67db241
来控制端口进出的数据包。ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。
标准IP访问列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的
包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。
扩展IP访问列表
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、
源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
命名的IP访问控制列表
所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同
样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。
3P原则:
记住 3P 原则,您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协
议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL:
每种协议一个 ACL:要控制接口上的流量,必须为接口上启用的每种协议定义相
应的 ACL。
每个方向一个 ACL :一个 ACL 只能控制接口上一个方向的流量。要控制入站流
量和出站流量,必须分别定义两个 ACL。
每个接口一个 ACL :一个 ACL 只能控制一个接口(例如快速以太网0/0)上的
流量。
执行过程:
一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。如果一
个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。这里要注意,ACL不能对本路由器产生的数据包进行控制。
标准ACL与扩展ACL之间的区别:
标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号,扩展的ACL
使用 100 ~ 199以及2000~2699之间的数字作为表号。标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
因为标准ACL只能检查源IP地址,所以标准ACL要尽量靠近目的端。
因为扩展ACL能控制源地址,也能控制目的地址,所以扩展ACL要尽量靠近源端。
命名访问控制列表:
在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一
个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除
某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。 在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。命名访问列表只是创建标准或扩展访问列表的另一种方法而已。所谓命名是以列表名代替列表编号来定义IP访问控制列表的。
定义规范:
(1)ACL的列表号指出了是哪种协议的ACL。各种协议有自己的ACL,而每个
协议的ACL又分为标准ACL和扩展ACL。这些ACL是通过ACL列表号区别的。如果在使用一种访问ACL时用错了列表号,那么就会出错误。
(2)一个ACL的配置是每协议、每接口、每方向的。路由器的一个接口上每一种
协议可以配置进方向和出方向两个ACL。也就是说,如果路由器上启用了IP和IPX两种协议栈,那么路由器的一个接口上可以配置IP、IPX两种协议,每种协议进出两个方向,共四个ACL。
(3)ACL的语句顺序决定了对数据包的控制顺序。在ACL中各描述语句的放置
顺序是很重要的。当路由器决定某一数据包是被转发还是被阻塞时,会按照各项描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据报进行检查,一旦找到了某一匹配条件就结束比较过程,不再检查以后的其他条件判断语句。
(4)最有限制性的语句应该放在ACL语句的首行。把最有限制性的语句放在ACL
语句的首行或者语句中靠近前面的位置上,把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行,可以防止出现诸如本该拒绝(放过)的数据包被放过(拒绝)的情况。
(5)新的表项只能被添加到ACL的末尾,这意味着不可能改变已有访问控制列表
的功能。如果必须改变,只有先删除已存在的ACL,然后创建一个新ACL,将新ACL应用到相应的接口上。
(6)在将ACL应用到接口之前,一定要先建立ACL。首先在全局模式下建立ACL,
然后把它应用在接口的出方向或进方向上。在接口上应用一个不存在的ACL是不可能的。
(7)ACL语句不能被逐条的删除,只能一次性删除整个ACL。
(8)在ACL的最后,有一条隐含的“全部拒绝”的命令,所以在 ACL里一定至
少有一条“允许”的语句。
(9)ACL只能过滤穿过路由器的数据流量,不能过滤由本路由器上发出的数据包。 (10)在路由器选择进行以前,应用在接口进入方向的ACL起作用。 (11)在路由器选择决定以后,应用在接口离开方向的ACL起作用。
每个接口、每个协议或每个方向上只可以应用一个访问列表。(因为ACL末尾都隐含拒绝的语句,经过第一个ACL的过滤,不符合的包都被丢弃,也就不会留下任何包和第二个ACL比较) 常见问题
1、“ACL 的最后一条语句都是隐式拒绝语句” 是什么意思?
每个 ACL 的末尾都会自动插入一条隐含的 deny 语句,虽然ACL中看不到这条语句,它仍起作用。隐含的 deny 语句会阻止所有流量,以防不受欢迎的流量意外进入网络。 2、配置ACL后为什么没有生效?
在创建访问控制列表之后,必须将其应用到某个接口才可开始生效。ACL 控制的对象是进出接口的流量。 命令格式