訪問控制列表(ACL)使用包過濾技術,戴爾深圳經銷商在路由器上讀取第三層及第四層包頭中的信息,如源地址、目的地址、源端口、目的端口等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。過濾是對數據包內容進行分析以決定是允許還是阻止該數據包的過程。
ACL可以應用在人向或者出向接口,對于人向數據流,路由器先檢查應用在接口的人向ACL,按照自上而下的順序匹配ACL,如果匹配到deny,則丟棄數據包返回ICMP不可達消息(ACI。結尾隱含denyany);如果匹配permit,則查找路由表并且進而判斷目的地址是否可路由,如果不可以,則返回ICMP不可達消息;如果可以,則將數據轉發到出接口。到出接口后看是否有出向ACL,同樣的,按照ACL的檢查流程,根據具體情況判斷是轉發數據還是丟棄數據。
本書只討論CISCO公司兩種類型的ACI。:標準ACL和擴展ACL。
(1)標準ACL。標準ACL通過使用IP包中的源IP地址進行過濾,表號范圍是1~99或1300—1999。
(2)擴展ACI。。擴展ACL可以針對協議類型、源地址、目的地址、源端口、目的端口、TCP連接建立等進行過濾,表號范圍100~199或2000~2699。
ACL工作方式包括以下幾個原則。
(1)自上而下順序處理。ACL表項的檢查從第一個表項開始,按照自上而下的順序進
行,一旦匹配某一條件,就停止檢查后續的表項。ACI。表項的最后一項是隱含的deny any
any,意味著如果數據包與所有行都不配的話,將被丟棄。
(2)尾部添加新表項。新的表項在不指定序號的情況下,默認被添加到ACL的末尾。
(3)ACI。放置原則。標準ACL盡量靠近目的端口,戴爾服務器深圳因為其只使用源地址,如果將其靠近源會阻止數據包流向其他端口。擴展ACI。盡量放置在靠近源端口的位置上,盡早拒絕數據包,避免浪費網絡帶寬。
(4)過濾。路由器不對自身產生的IP數據包進行過濾。
