ACL常用命令及工作原理
What
ACL 是一系列 IOS 命令,根据数据包报头中找到的信息来控制路由器应该转发还是应该丢弃数据包。ACL 是思科 IOS 软件中最常用的功能之一。
在配置后,ACL 将执行以下任务:
限制网络流量以提高网络性能。例如,如果公司政策不允许在网络中传输视频流量,那么就应该配置和应用 ACL 以阻止视频流量。这可以显著降低网络负载并提高网络性能。
提供流量控制。ACL 可以限制路由更新的传输,从而确保更新都来自一个已知的来源。
提供基本的网络访问安全性。ACL 可以允许一台主机访问部分网络,同时阻止其他主机访问同一区域。例如,“人力资源”网络仅限授权用户进行访问。
根据流量类型过滤流量。例如,ACL 可以允许邮件流量,但阻止所有 Telnet 流量。
屏蔽主机以允许或拒绝对网络服务的访问。ACL 可以允许或拒绝用户访问特定文件类型,例如 FTP 或 HTTP。
默认情况下,路由器并未配置 ACL;因此,路由器不会默认过滤流量。进入路由器的流量仅根据路由表内的信息进行路由。但是,当 ACL 应用于接口时,路由器会在网络数据包通过接口时执行另一项评估所有网络数据包的任务,以确定是否可以转发数据包。
除了允许或拒绝流量外,ACL 还可用于选择需要以其他方式进行分析、转发或处理的流量类型。例如,ACL 可用于对流量进行分类,以实现按优先级处理流量的功能。此功能与音乐会或体育赛事中的 VIP 通行证类似。VIP 通行证使选定的客人享有未向普通入场券持有人提供的特权,例如优先进入或能够进入专用区。
How
ACL 定义了一组规则,用于对进入入站接口的数据包、通过路由器中继的数据包,以及从路由器出站接口输出的数据包施加额外的控制。ACL 对路由器自身产生的数据包不起作用。
如图所示,ACL 可配置为应用于入站流量和出站流量。
入站 ACL - 传入数据包经过处理之后才会被路由到出站接口。因为如果数据包被丢弃,就节省了执行路由查找的开销,所以入站 ACL 非常高效。如果 ACL 允许该数据包,则会处理该数据包以进行路由。当与入站接口连接的网络是需要检测的数据包的唯一来源时,最适合使用入站 ACL 来过滤数据包。
出站 ACL - 传入数据包路由到出站接口后,由出站 ACL 进行处理。在来自多个入站接口的数据包通过同一出站接口之前,对数据包应用相同过滤器时,最适合使用出站 ACL。
- 查看路由器ACL
show access-lists
- 删除
a. 在串行 l0/0/0 接口下,删除以前作为出站过滤器应用到接口的访问列表 11:
R1(config)# int se0/0/0
R1(config-if)#no ip access-group 11 out
b. 在全局配置模式下,输入下列命令可删除 ACL:
R1(config)# no access-list 11
c. 验证 PC1 现在可以 ping 到 DNS 服务器和 PC4。
- 创建ACL(要在思科路由器上使用编号标准 ACL,您必须先创建标准 ACL,然后在接口上激活 ACL。)
标准 ACL 命令的完整语法如下:
Router(config)# access-list access-list-number { deny | permit | remark } source [ source-wildcard ][ log ]
【例一】可用于允许或拒绝单个主机或一组主机地址。要在编号 ACL 10 中创建一条 host 语句以允许 IPv4 地址为 192.168.10.10 的特定主机,您应该输入:
R1(config)# access-list 10 permit host 192.168.10.10
【例二】要在允许 192.168.10.0/24 网络中所有 IPv4 地址的编号 ACL 10 中创建一条允许一组 IPv4 地址的语句,您应该输入:
R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
. 默认情况下,访问列表将拒绝与任何规则都不匹配的所有流量。 要允许所有其他流量,请配置以下语句:
R2(config)# access-list 1 permit any
- 将标准 IPv4 ACL 应用于接口
配置标准 IPv4 ACL 之后,可以在接口配置模式下使用 ip access-group 命令将其关联到接口:
Router(config-if)# ip access-group { access-list-number | access-list-name } { in | out }
要从接口上删除 ACL,首先在接口上输入 no ip access-group 命令,然后输入全局命令 no access-list 删除整个 ACL。
ACL常用命令及工作原理的更多相关文章
- apt-get常用命令及工作原理
https://blog.csdn.net/mosquito_zm/article/details/63684608
- linux命令管道工作原理与使用方法
一.管道定义 管道是一种两个进程间进行单向通信的机制.因为管道传递数据的单向性,管道又称为半双工管道.管道的这一特点决定了器使用的局限性.管道是Linux支持的最初Unix IPC形式之一,具有以下特 ...
- ping命令知识 Ping命令工作原理详解
在网络应用中,ping网速与IP地址等都是非常常用的命令,但大家知道ping命令的工作原理吗?要知道这其中的奥秘,我们有必要来看看Ping命令的工作过程到底是怎么样的.下面介绍下ping命令的详细知识 ...
- linux常用命令详解
Linux提供了大量的命令,利用它可以有效地完成大量的工作,如磁盘操作.文件存取.目录操作.进程管理.文件权限设定等.所以,在Linux系统上工作离不开使用系统提供的命令.要想真正理解Linux系统, ...
- linux常用命令加实例大全
目 录引言 1一.安装和登录 2(一) login 2(二) shutdown 2(三) halt 3(四) reboot 3(五) ...
- 零基础学习Linux必会的60个常用命令
Linux必学的60个命令Linux提供了大量的命令,利用它可以有效地完成大量的工 作,如磁盘操作.文件存取.目录操作.进程管理.文件权限设定等.所以,在Linux系统上工作离不开使用系统提供的命令. ...
- linux常用命令与实例小全
转至:https://www.cnblogs.com/xieguohui/p/8296864.html linux常用命令与实例小全 阅读目录(Content) 引言 一.安装和登录 (一) ...
- Linux入门之常用命令(14) kill
Linux kill 命令使用详解 功能说明:删除执行中的程序或工作. 语 法:kill [-s <信息名称或编号>][程序] 或 kill [-l <信息编号>] 补充说明: ...
- Linux学习之常用命令(三)
常用命令之工作目录 显示当前目录 pwd[选项] 切换目录 cd [文件路径] cd /root 注意:可以使用Tab键进行路径补齐 cd .. >>返回上次的目录 显示目录以及文件信息 ...
随机推荐
- django(7)modelform操作及验证、ajax操作普通表单数据提交、文件上传、富文本框基本使用
一.modelForm操作及验证 1.获取数据库数据,界面展示数据并且获取前端提交的数据,并动态显示select框中的数据 views.py from django.shortcuts import ...
- ASP.NET 使用 AjaxPro 实现前端跟后台交互
使用 AjaxPro 进行交互,很多人都写过文章了,为什么还要继续老生常谈呢.因为有一些细节上的东西我们需要注意,因为这些细节如果不注意的话,那么程序会报错,而且维护性较差. 引言 一.首先,还是那句 ...
- 比较详细的mysql的几种连接功能分析,只要你看完就能学会的好东西
下面是例子分析表A记录如下: aID aNum 1 a20050111 2 a20050112 3 a20050113 4 ...
- oracle OTT 学习
1.OTT概念 OTT 是 Object Type Translator 的缩写,对象类型转换器.它是用来将数据库中定义的类型(UDT)转换为C结构体类型的工具.借助OTT 可以用C语言调用OCI来访 ...
- Java进程内缓存
今天和同事聊到了缓存,在Java中实现进程缓存.这里主要思想是,用一个map做缓存.缓存有个生存时间,过期就删除缓存.这里可以考虑两种删除策略,一种是起一个线程,定期删除过期的key.第二个是,剔除模 ...
- Linux的find命令实例详解和mtime ctime atime
这次解释一下三个Linux文件显示的三个时间,然后展示一下find命令的各个功能 在linux操作系统中,每个文件都有很多的时间参数,其中有三个比较主要,分别是ctime,atime,mtime mo ...
- IO流之流的操作规律
流的操作规律 IO流中对象很多,解决问题(处理设备上的数据时)到底该用哪个对象呢? 把IO流进行了规律的总结(四个明确): l 明确一:要操作的数据是数据源还是数据目的. 源:InputStream ...
- TCP/IP五层模型详解
将应用层,表示层,会话层并作应用层,从tcp/ip五层协议的角度来阐述每层的由来与功能,搞清楚了每层的主要协议就理解了整个互联网通信的原理. 首先,用户感知到的只是最上面一层应用层,自上而下每层都依赖 ...
- HihoCoder#1279 : Rikka with Sequence(dp 枚举子集 二进制 神仙题)
题意 题目链接 Sol 不愧是dls出的比赛啊,265个交了题的人只有8个有分Orz 做完这题,,感觉自己的位运算dp姿势升华了... 首先最裸的dp应该比较好想,设\(f[i][j][k]\)表示前 ...
- mac的svn
http://xclient.info/s/cornerstone.html?t=c5242a66e53f1d866afe8c42aace2738c04ce9ee#versions 破解版的地址 打开 ...