訪問控制列表的條件引數都在ip包中,協議號和ip位址(源位址和目的位址)都在ip包頭部分,埠號在ip包的資料部分,也就是第四層頭部。
訪問控制列表是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些資料報可以接收、哪些資料報需要拒絕。
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術也比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
訪問控制列表(acl)是應用在路由器介面的指令列表。這些指令列表用來告訴路由器哪能些資料報可以收、哪能資料報需要拒絕。至於資料報是被接收還是拒絕,可以由類似於源位址、目的位址、埠號等的特定指示條件來決定。
訪問控制列表不但可以起到控制網路流量、流向的作用,而且在很大程度上起到保護網路裝置、伺服器的關鍵作用。作為外網進入企業內網的第一道關卡,路由器上的訪問控制列表成為保護內網安全的有效手段。
此外,在路由器的許多其他配置任務中都需要使用訪問控制列表,如網路位址轉換(network address translation,nat)、按需撥號路由(dial on demand routing,ddr)、路由重分布(routing redistribution)、策略路由(policy-based routing,pbr)等很多場合都需要訪問控制列表。
訪問控制列表從概念上來講並不複雜,複雜的是對它的配置和使用,許多初學者往往在使用訪問控制列表時出現錯誤。
幾種訪問控制列表的簡要總結::
乙個標準ip訪問控制列表匹配ip包中的源位址或源位址中的一部分,可對匹配的包採取拒絕或允許兩個操作。編號範圍是從1到99的訪問控制列表是標準ip訪問控制列表。
擴充套件ip訪問控制列表比標準ip訪問控制列表具有更多的匹配項,包括協議型別、源位址、目的位址、源埠、目的埠、建立連線的和ip優先順序等。編號範圍是從100到199的訪問控制列表是擴充套件ip訪問控制列表。
所謂命名的ip訪問控制列表是以列表名代替列表編號來定義ip訪問控制列表,同樣包括標準和擴充套件兩種列表,定義過濾的語句與編號方式中相似。
標準ipx訪問控制列表的編號範圍是800-899,它檢查ipx源網路號和目的網路號,同樣可以檢查源位址和目的位址的節點號部分。
擴充套件ipx訪問控制列表在標準ipx訪問控制列表的基礎上,增加了對ipx報頭中以下幾個宇段的檢查,它們是協議型別、源socket、目標socket。擴充套件ipx訪問控制列表的編號範圍是900-999。
與命名的ip訪問控制列表一樣,命名的ipx訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表,同樣有標準和擴充套件之分。
ACL訪問控制列表
acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...
ACL訪問控制列表
技術從來都是一把雙刃劍,網路應用與網際網路的普及在大幅提高企業的生產經營效率的同時,也帶來了諸如資料的安全性,員工利用網際網路做與工作不相干事等負面影響。如何將乙個網路有效的管理起來,盡可能的降低網路所帶來的負面影響就成了擺在網路管理員面前的乙個重要課題。a公司的某位可憐的網管目前就面臨了一堆這樣的...
ACL訪問控制列表
ip access group 1 in out 不管此處是in還是out pc1都將無法訪問pc2,但是這兩種情況下,資料報被阻止的情況不一樣,如果應用的是 ip access group 1 out,那麼從pc1傳送出來的資料報,只能傳到f0 1介面,但不能通過此介面,因為此時訪問列表將pc1傳...