标签:网络流量 包头 并且 完成 上层 包过滤 接收 集中 重要
访问控制列表(Access Control Lists,ACL)利用包过滤技术,在路由器上读取第三层或者第四层包头中的信息,如源地址、目的地址、源端口、目的端口以及上层协议等,根据预先定义的规则决定哪些数据包可以接收、那些数据需要拒绝,从而达到访问控制的目的。
ACL是一组规则序列。在使用ACL时,一般时将预先定义好的ACL规则设置在路由器的接口上,对接口上进方向(in)或出方向(out)的数据包进行过滤。
ACL只能过滤经过路由器的数据包,对路由器本身所产生的数据包不起作用。
ACL的作用主要表现在两个方面:一方面保护资源节点,阻止非法用户对资源节点的访问;另一方面限制特定用户节点所能具备的访问权限。
初期ACL仅仅应用在路由器上,目前已经扩展到三层交换机。
基本的访问控制列表又标准ACL,扩展ACL;
其他种类的ACL包括MAC扩展ACL,基于时间的ACL。
ACL实际上是一系列判断语句的集合。当一个数据包进入路由器的某个端口时,路由器首先检查数据包是否可路由或可桥接,然后路由器检查是否在入站端口上应用ACL,如果没有应用,则将数据包送至目的端口。如果存在ACL,则会遍历ACL中的每一条规则,直到找到符合的规则或者遍历结束。所以ACL的顺序是非常重要的,可能会影响数据的转发效率。
配置ACL的基本原则
配置ACL需要注意的规则:
全部允许或全部拒绝放在最后。标准ACL只对源地址进行过滤,控制允许或者拒绝。
扩展ACL比标准ACL更常用。扩展ACL即可检查分组的源地址和目的地址,也可以检查协议类型和TCP(UDP)的端口号,还可以拒绝或允许协议集中的某些协议。使用扩展ACL可以实现更加精确的流量控制。
MAC扩展访问控制列表的工作过程与扩展ACL类似,只是其匹配MAC地址进行控制。MAC扩展ACL可根据数据包的源MAC地址、目的MAC地址、以太网协议类型设置过滤,进行控制。MAC扩展ACL可以利用编号或者名称进行标识,编号的取值范围是700~799。
基于时间的ACL是在各种ACL规则的基础上增加时间段的应用规则,以实现基于时间段的访问控制。只有配置了时间段的规则才会在指定的时间段内生效,其他时间段的规则不受影响。
基于时间的ACL由两部分组成
标签:网络流量 包头 并且 完成 上层 包过滤 接收 集中 重要
原文地址:https://www.cnblogs.com/know-nothing/p/10981800.html
