ACL访问控制列表应用说明_电工电气_中国百科网
ACL访问控制列表应用说明
    该文章讲述了ACL访问控制列表应用说明.
问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配 关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。
ACL的作用:
ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。
　　ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。
　　ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。
　　ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。
　　例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。
　　ACL具体的执行流程
　　数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语 句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹 配的语句出口，则该数据包将视为被拒绝而被丢弃。
　　这里要注意，ACL不能对本路由器产生的数据包进行控制。
ACL的执行过程:
一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。
　 　数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语 句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能 对本路由器产生的数据包进行控制。
ACL的分类:
目前有两种主要的ACL:标准ACL和扩展ACL、通过命名、通过时间。
　　标准的ACL使用 1 ~ 99 以及之间的数字作为表号 扩展的ACL使用 100 ~ 199以及之间的数字作为表号
　　标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。
　　扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到&允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量&，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。
　　在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母 或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。 在使用命名访问控制列表时，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。
　　随着网络的发展和用户要求的变化，从IOS 12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合 来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个 时间范围，然后在原来的各种访问列表的基础上应用它。
　　基于时间访问列表的设计中，用time-range 命令来指定时间范围的名称，然后用absolute命令，或者一个或多个periodic命令来具体定义时间范围。
正确放置ACL:
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。
　　假设在的一个运行TCP/IP协议的网络环境中，网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问，即禁止从网络1到网络2的访问。
　　根据减少不必要通信流量的通行准则，网管员应该尽可能地把ACL放置在靠近被拒 绝的通信流量的来源处，即RouterA上。如果网管员使用标准ACL来进行网络流量限制，因为标准ACL只能检查源IP地址，所以实际执行情况为：凡是 检查到源IP地址和网络1匹配的数据包将会被丢掉，即网络1到网络2、网络3和网络4的访问都将被禁止。由此可见，这个ACL控制方法不能达到网管员的目 的。同理，将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上（E0接口），网络才能准确 实现网管员的目标。由此可以得出一个结论: 标准ACL要尽量靠近目的端。
　　网管员如果使用扩展ACL来进行上述控制，则完全可以把ACL放在 RouterA上，因为扩展ACL能控制源地址（网络1），也能控制目的地址（网络2），这样从网络1到网络2访问的数据包在RouterA上就被丢弃， 不会传到RouterB、RouterC和RouterD上，从而减少不必要的网络流量。因此，我们可以得出另一个结论：扩展ACL要尽量靠近源端。
Copyright by ；All rights reserved.查看: 2691|回复: 6
帖子主题精华0积分263阅读权限3注册时间最后登录在线时间22 小时性别保密
技术员, 积分 263, 距离下一级还需 237 积分
升级&&40.75%当前用户组为 技术员当前积分为 263, 升到下一级还需要 237 点。UID525009帖子精华0积分263 威望133 分 华三币61 个
将本帖分享到：
大神好，由于没有机器做实验，而且将要到客户那边配置，想请教有碰到MSR系列机器的大神，如果我要限制对百度视频的访问，用命令这样写行不
# acl number 3001rule deny ip source 159.99.1.12 0.0.0.255 destination 115.239.210.38#firewell enable #interface Ethernet 0/1firewall packet-filter 3000 outbound我在华三那里下载了web配置文档，其中ACL访问控制是图下所示
那里只有源地址和目的端口，没目的地址，由于没有接触过机器，所以想问下，上面的ACL访问控制能不能这样写，还有web配置中的ACL有没有目的地址的？各位路过的大神来帮忙看下啦，谢谢！在线等！
附件: 你需要才可以下载或查看附件。没有帐号？
帖子主题精华2积分38208阅读权限70注册时间最后登录在线时间1146 小时性别保密生日1989 年 9 月 1 日
No Pains No Gains!
UID116192帖子精华2积分38208 威望17515 分 华三币6062 个
看看相关案例吧，O(∩_∩)O哈哈~
帖子主题精华7积分11250阅读权限80注册时间最后登录在线时间880 小时性别男生日1991 年 11 月 14 日星座天蝎座
为人民服雾
UID482035帖子精华7积分11250 威望3427 分 华三币2660 个
应该不行吧这样写
帖子主题精华0积分1325阅读权限5注册时间最后登录在线时间65 小时性别男生日1983 年 9 月 16 日星座处女座
高级工程师, 积分 1325, 距离下一级还需 1675 积分
升级&&16.25%当前用户组为 高级工程师当前积分为 1325, 升到下一级还需要 1675 点。UID290804帖子精华0积分1325 威望628 分 华三币241 个
百度视频的IP地址不会只有一个，会有很多，要不上专业的行为管理设备，要不你就限速来控制。
帖子主题精华0积分263阅读权限3注册时间最后登录在线时间22 小时性别保密
技术员, 积分 263, 距离下一级还需 237 积分
升级&&40.75%当前用户组为 技术员当前积分为 263, 升到下一级还需要 237 点。UID525009帖子精华0积分263 威望133 分 华三币61 个
哦，谢谢大家啊！
帖子主题精华0积分940阅读权限4注册时间最后登录在线时间120 小时性别保密
助理工程师, 积分 940, 距离下一级还需 60 积分
升级&&88%当前用户组为 助理工程师当前积分为 940, 升到下一级还需要 60 点。UID510534帖子精华0积分940 威望404 分 华三币261 个
基于目的IP地址可以用命令行来写么
帖子主题精华0积分427阅读权限3注册时间最后登录在线时间35 小时性别男生日1990 年 5 月 6 日星座金牛座
技术员, 积分 427, 距离下一级还需 73 积分
升级&&81.75%当前用户组为 技术员当前积分为 427, 升到下一级还需要 73 点。UID511020帖子精华0积分427 威望215 分 华三币93 个
定义的ACL和应用的ACL都不一样
微信认证达人
绑定微信账号会员
论坛活动快讯！
Powered by}