通信导论-访问控制列表ACL原理

Posted 2021-12-06 happy--hh

访问控制列表ACL：当网络流量不断增长的时候，对数据流进行管理和限制的方法，允许或拒绝数据指令（设置ACL规则前测试网络连通性）

访问控制列表的功能

• 限制网络流量，提高网络性能
• 提供对通信流量的控制手段
• 提供网络访问的基本安全手段

ACL类型

• 标准ACL：仅以源IP地址为过滤标准
• 扩展ACL：以源IP地址、目的IP地址、TCP/UDP源端口号等为过滤标准
• 二层ACL
• 混合ACL

应用ACL，区分in和out的方向

• inbound：进入路由表接口的方向
• outbound：出路由表接口的方向

ACL的判别依据：五元组

标准ACL的表号范围，放置位置

 1-99（中兴），2000-2999（华三）

放置位置：配置在距离目的网络最近的路由器上

扩展ACL的表号范围

100-199（中兴），3000-3999（华三）

放置位置：配置在距离源网络最近的路由器上

ACL规则的特点（每条ACL规则最多100条）

• 按照由上到下顺序执行（标准ACL排序：主机，网段，any）
• 每条ACL的末尾隐含一条deny any的规则（至少有一条是允许的，否则丢弃全部，一切流量被拒绝）
• 引用ACL之前先创建好ACL
• 对于一个协议，一个接口的一个方向上同一个时间内只能设置一个ACL
•  标准ACL，应用在离目的端较近的地方
• 扩展ACL，应用在源端较近的地方

2019-05-22 星期三