ACL
新聞分類:行業(yè)資訊 作者:handler 發(fā)布于:2016-12-144 文字:【
大】【
中】【
小】
摘要:
訪問控制列表(ACL)使用包過濾技術(shù)�,戴爾深圳經(jīng)銷商在路由器上讀取第三層及第四層包頭中的信息����,如源地址�、目的地址、源端口��、目的端口等�����,根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾�,從而達(dá)到訪問控制的目的�。過濾是對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行分析以決定是允許還是阻止該數(shù)據(jù)包的過程。
ACL可以應(yīng)用在人向或者出向接口���,對(duì)于人向數(shù)據(jù)流��,路由器先檢查應(yīng)用在接口的人向ACL��,按照自上而下的順序匹配ACL�,如果匹配到deny��,則丟棄數(shù)據(jù)包返回ICMP不可達(dá)消息(ACI。結(jié)尾隱含denyany)��;如果匹配permit��,則查找路由表并且進(jìn)而判斷目的地址是否可路由�����,如果不可以���,則返回ICMP不可達(dá)消息;如果可以�,則將數(shù)據(jù)轉(zhuǎn)發(fā)到出接口。到出接口后看是否有出向ACL�,同樣的,按照ACL的檢查流程�����,根據(jù)具體情況判斷是轉(zhuǎn)發(fā)數(shù)據(jù)還是丟棄數(shù)據(jù)��。
本書只討論CISCO公司兩種類型的ACI��。:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。
(1)標(biāo)準(zhǔn)ACL���。標(biāo)準(zhǔn)ACL通過使用IP包中的源IP地址進(jìn)行過濾�,表號(hào)范圍是1~99或1300—1999���。
(2)擴(kuò)展ACI��。����。擴(kuò)展ACL可以針對(duì)協(xié)議類型���、源地址����、目的地址��、源端口��、目的端口�����、TCP連接建立等進(jìn)行過濾��,表號(hào)范圍100~199或2000~2699�����。
ACL工作方式包括以下幾個(gè)原則��。
(1)自上而下順序處理�����。ACL表項(xiàng)的檢查從第一個(gè)表項(xiàng)開始����,按照自上而下的順序進(jìn)
行,一旦匹配某一條件��,就停止檢查后續(xù)的表項(xiàng)���。ACI���。表項(xiàng)的最后一項(xiàng)是隱含的deny any
any,意味著如果數(shù)據(jù)包與所有行都不配的話����,將被丟棄���。
(2)尾部添加新表項(xiàng)。新的表項(xiàng)在不指定序號(hào)的情況下��,默認(rèn)被添加到ACL的末尾���。
(3)ACI。放置原則����。標(biāo)準(zhǔn)ACL盡量靠近目的端口,戴爾服務(wù)器深圳因?yàn)槠渲皇褂迷吹刂?���,如果將其靠近源?huì)阻止數(shù)據(jù)包流向其他端口。擴(kuò)展ACI�。盡量放置在靠近源端口的位置上,盡早拒絕數(shù)據(jù)包����,避免浪費(fèi)網(wǎng)絡(luò)帶寬。
(4)過濾�。路由器不對(duì)自身產(chǎn)生的IP數(shù)據(jù)包進(jìn)行過濾。
