| 访问控制列表使用目的:
1、限制网络流量、提高网络性能。例如队列技术,不仅限制了网络流量,而且减少了拥塞
2、提供对通信流量的控制手段。例如可以用其控制通过某台路由器的某个网络的流量
3、提供了网络访问的一种基本安全手段。例如在公司中,允许财务部的员工计算机可以访问财务服务器而拒绝其他部门访问财务服务器
4、在路由器接口上,决定某些流量允许或拒绝被转发。例如,可以允许FTP的通信流量,而拒绝TELNET的通信流量。
工作原理:
ACL中规定了两种操作,所有的应用都是围绕这两种操作来完成的:允许、拒绝
注意:ACL是CISCO IOS中的一段程序,对于管理员输入的指令,有其自己的执行顺序,它执行指令的顺序是从上至下,一行行的执行,寻找匹配,一旦匹配则停止继续查找,如果到末尾还未找到匹配项,则执行一段隐含代码——丢弃DENY.所以在写ACL时,一定要注意先后顺序。
例如:要拒绝来自172.16.1.0/24的流量,把ACL写成如下形式
允许172.16.0.0/18
拒绝172.16.1.0/24
允许192.168.1.1/24
拒绝172.16.3.0/24
那么结果将于预期背道而驰,把表一和表二调换过来之后,再看一下有没有问题:
拒绝172.16.1.0/24
允许172.16.0.0/18
允许192.168.1.1/24
拒绝172.16.3.0/24
发现172.16.3.0/24和刚才的情况一样,这个表项并未起到作用,因为执行到表二就发现匹配,于是路由器将会允许,和我们的需求完全相反,那么还需要把表项四的位置移到前面
最后变成这样:
拒绝172.16.1.0/24
拒绝172.16.3.0/24
允许172.16.0.0/18
允许192.168.1.1/24
可以发现,在ACL的配置中的一个规律:越精确的表项越靠前,而越笼统的表项越靠后放置。ACL是一组判断语句的集合,它主要用于对如下数据进行控制:
1、入站数据;
2、出站数据;
3、被路由器中继的数据
工作过程
1、无论在路由器上有无ACL,接到数据包的处理方法都是一样的:当数据进入某个入站口时,路由器首先对其进行检查,看其是否可路由,如果不可路由那么就丢弃,反之通过查路由选择表发现该路由的详细信息——包括AD,METRIC……及对应的出接口;
2、这时,我们假定该数据是可路由的,并且已经顺利完成了第一步,找出了要将其送出站的接口,此时路由器检查该出站口有没有被编入ACL,如果没有ACL 的话,则直接从该口送出。如果该接口编入了ACL,那么就比较麻烦。第一种情况——路由器将按照从上到下的顺序依次把该数据和ACL进行匹配,从上往下,逐条执行,当发现其中某条ACL匹配,则根据该ACL指定的操作对数据进行相应处理(允许或拒绝),并停止继续查询匹配;当查到ACL的最末尾,依然未找到匹配,则调用ACL最末尾的一条隐含语句deny any来将该数据包丢弃。
对于ACL,从工作原理上来看,可以分成两种类型:
1、入站ACL
2、出站ACL
上面的工作过程的解释是针对出站ACL的。它是在数据包进入路由器,并进行了路由选择找到了出接口后进行的匹配操作;而入站ACL是指当数据刚进入路由器接口时进行的匹配操作,减少了查表过程
并不能说入站表省略了路由过程就认为它较之出站表更好,依照实际情况而定:
如图所示,采用基本的ACL——针对源的访问控制
要求如下:
1、拒绝1.1.1.2访问3.1.1.2但允许访问5.1.1.2
2、拒绝3.1.1.2访问1.1.1.2但允许访问5.1.1.2
采用基本的ACL来对其进行控制
R1(config)#access-list 1 deny 1.1.1.2 0.0.0.255
R1(config)#access-list 1 permit any
R1(config)#int e0
R1(config-if)#access-group 1 in
R2(config)#access-list 1 deny 3.1.1.2 0.0.0.255
R2(config)#access-list 1 permit any
R2(config)#int e0
R2(config-if)#access-group 1 in |
|
