攻城狮论坛(技术+生活)群 2258097
第一节、Managing Traffic with Access
Lists
Introduction to Access Lists
访问列表(access list,ACL)的主要作用是过滤你不想要的数据包.设置 ACL
的一些规则:
1.按顺序的比较,先比较第一行,再比较第二行..直到最后 1 行
2.从第一行起,直到找到 1 个符合条件的行;符合以后,其余的行就不再继续
比较下去
3.默认在每个 ACL 中最后 1 行为隐含的拒绝(deny),如果之前没找到 1 条许
可(permit)语句,意味着包将被丢弃.所以每个 ACL 必须至少要有 1 行 permit 语
句,除非你想想所有数据包丢弃
2 种主要的访问列表:
1.标准访问列表(standard access lists):只使用源 IP 地址来做过滤决定
2.扩展访问列表(extended access lists):它比较源 IP 地址和目标 IP 地址,
层 3 的协议字段,层 4 端口号来做过滤决定
利用 ACL 来过滤,必须把 ACL 应用到需要过滤的那个 router 的接口上,否则
ACL 是不会起到过滤作用的.而且你还要定义过滤的方向,比如是是想过滤从
Internet 到你企业网的数据包呢还是想过滤从企业网传出到 Internet 的数据包
呢?方向分为下面 2 种:
1.inbound ACL:先处理,再路由
2.outbound ACL:先路由,再处理
一些设置 ACL 的要点:
1.每个接口,每个方向,每种协议,你只能设置 1 个 ACL
2.组织好你的 ACL 的顺序,比如测试性的最好放在 ACL 的最顶部
3.你不可能从 ACL 从除去 1 行,除去 1 行意味你将除去整个 ACL,命名访问列
表(named access lists)例外(稍后介绍命名访问列表)
4.默认 ACL 结尾语句是 deny any,所以你要记住的是在 ACL 里至少要有 1 条
permit 语句
5.记得创建了 ACL 后要把它应用在需要过滤的接口上
6.ACL 是用于过滤经过 router 的数据包,它并不会过滤 router 本身所产生
的数据包
7.尽可能的把 IP 标准 ACL 放置在离目标地址近的地方;尽可能的把 IP 扩展
ACL 放置在离源地址近的地方
Standard Access Lists
介绍 ACL 设置之前先介绍下通配符掩码(wildcard masking).它是由 0 和 255
的4个8位位组组成的.0 代表必须精确匹配,255 代表随意,比如:172.16.30.0
攻城狮论坛 bbs.vlan5.com #^_^# .版权归原作者所有 本资料只供试读
剩余66页未读,继续阅读
资源评论
