ACL通路控制清單
- ACL
-
- ACL概述
- ACL基本原理
- ACL工作原理
- ACL的作用
- ACL種類
- ACL應用原則
- ACL應用規則
ACL
ACL概述
ACL通路控制清單(Access Control List)是應用在路由器接口的指令清單(即規則),用來告訴路由器,哪些資料包可以接收,哪些資料包需要拒絕。
ACL基本原理
其基本原理為:ACL使用包過濾技術,在路由器上讀取OSL七層模型的第三層及第四層標頭中的資訊,如源位址、目的位址、源端口、目的端口等,根據預先定義好的規則,對包進行過濾,進而達到通路控制的目的。
ACL工作原理
當資料包從接口經過時,由于接口啟用了ACL,此時路由器會對封包進行檢查,然後做出相應的處理。
ACL是一組規則的集合,它應用在路由器的某個接口上。對路由器接口而言,ACL有兩個方向。
出:已經過路由器的處理,正離開路由器接口的資料包
入:已經過路由器接口的資料包,将被路由器處理
如圖:清單應用到接口的方向與資料方向有關
如果對接口應用了ACL,也就是說該接口應用了一組規則,那麼路由器将對資料包應用該規則進行順序檢查。
如圖所示:
如果比對第一條規則, 則不再往下檢查,路由器将決定允許該資料包通過或拒絕通過。
如果不比對第一條規則, 則依次往下檢查,直到有任何一條規則比對, 路由器才決定允許該資料包通過或拒絕通過。
如果沒有任何條規則比對, 則路由器根據預設的規則将丢棄該資料包。
由此
可見,資料包要麼被允許,要麼被拒絕。
根據以上的檢查規則可知,在ACL中,各規則的放置順序是很重要的。一旦找到了某一比對規則,就結束比較過程,不再檢查之後的其他規則。
ACL的作用
1.用來對資料包做通路控制(丢棄或者放行)
2.結合其他協定,用來比對範圍
ACL種類
1.基本acl (2000-2999) :隻能比對源ip位址。
2.進階acl (3000-3999) :可以比對源ip、目标ip、源端口、目标端口等三層和四層的字段層
3.二層ACL (4000-4999) :根據資料包的源MAC位址、目的MAC位址、802.1p優先級、二層協定類型等二層資訊制定規則。
ACL應用原則
1.基本ACL,盡量用在靠近目的點
2.進階ACI,盡量用在靠近源的地方(可以保護帶寬和其他資源)
ACL應用規則
1.一個接口的同一個方向,隻能調用一個acl
2.一個 acl 裡面可以有多個rule規則,按照規則ID從小到大排序,從上往下依次執行
3.資料包一旦被某 rule 比對,就不再繼續向下比對
4.用來做資料包通路控制時,預設隐含放過所有(華為裝置)