What

ACL 是一系列 IOS 命令,根据数据包报头中找到的信息来控制路由器应该转发还是应该丢弃数据包。ACL 是思科 IOS 软件中最常用的功能之一。
在配置后,ACL 将执行以下任务:

  • 限制网络流量以提高网络性能。例如,如果公司政策不允许在网络中传输视频流量,那么就应该配置和应用 ACL 以阻止视频流量。这可以显著降低网络负载并提高网络性能。

  • 提供流量控制。ACL 可以限制路由更新的传输,从而确保更新都来自一个已知的来源。

  • 提供基本的网络访问安全性。ACL 可以允许一台主机访问部分网络,同时阻止其他主机访问同一区域。例如,“人力资源”网络仅限授权用户进行访问。

  • 根据流量类型过滤流量。例如,ACL 可以允许邮件流量,但阻止所有 Telnet 流量。

  • 屏蔽主机以允许或拒绝对网络服务的访问。ACL 可以允许或拒绝用户访问特定文件类型,例如 FTP 或 HTTP。

默认情况下,路由器并未配置 ACL;因此,路由器不会默认过滤流量。进入路由器的流量仅根据路由表内的信息进行路由。但是,当 ACL 应用于接口时,路由器会在网络数据包通过接口时执行另一项评估所有网络数据包的任务,以确定是否可以转发数据包。

除了允许或拒绝流量外,ACL 还可用于选择需要以其他方式进行分析、转发或处理的流量类型。例如,ACL 可用于对流量进行分类,以实现按优先级处理流量的功能。此功能与音乐会或体育赛事中的 VIP 通行证类似。VIP 通行证使选定的客人享有未向普通入场券持有人提供的特权,例如优先进入或能够进入专用区。

How

ACL 定义了一组规则,用于对进入入站接口的数据包、通过路由器中继的数据包,以及从路由器出站接口输出的数据包施加额外的控制。ACL 对路由器自身产生的数据包不起作用。

如图所示,ACL 可配置为应用于入站流量和出站流量。

入站 ACL - 传入数据包经过处理之后才会被路由到出站接口。因为如果数据包被丢弃,就节省了执行路由查找的开销,所以入站 ACL 非常高效。如果 ACL 允许该数据包,则会处理该数据包以进行路由。当与入站接口连接的网络是需要检测的数据包的唯一来源时,最适合使用入站 ACL 来过滤数据包。

出站 ACL - 传入数据包路由到出站接口后,由出站 ACL 进行处理。在来自多个入站接口的数据包通过同一出站接口之前,对数据包应用相同过滤器时,最适合使用出站 ACL。

  • 查看路由器ACL

show access-lists

  • 删除

a. 在串行 l0/0/0 接口下,删除以前作为出站过滤器应用到接口的访问列表 11:

R1(config)# int se0/0/0
R1(config-if)#no ip access-group 11 out

b. 在全局配置模式下,输入下列命令可删除 ACL:

R1(config)# no access-list 11

c. 验证 PC1 现在可以 ping 到 DNS 服务器和 PC4。

  • 创建ACL(要在思科路由器上使用编号标准 ACL,您必须先创建标准 ACL,然后在接口上激活 ACL。)

标准 ACL 命令的完整语法如下:

Router(config)# access-list access-list-number { deny | permit | remark } source [ source-wildcard ][ log ]

【例一】可用于允许或拒绝单个主机或一组主机地址。要在编号 ACL 10 中创建一条 host 语句以允许 IPv4 地址为 192.168.10.10 的特定主机,您应该输入:

R1(config)# access-list 10 permit host 192.168.10.10

【例二】要在允许 192.168.10.0/24 网络中所有 IPv4 地址的编号 ACL 10 中创建一条允许一组 IPv4 地址的语句,您应该输入:

R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255

. 默认情况下,访问列表将拒绝与任何规则都不匹配的所有流量。 要允许所有其他流量,请配置以下语句:

R2(config)# access-list 1 permit any

  • 将标准 IPv4 ACL 应用于接口
    配置标准 IPv4 ACL 之后,可以在接口配置模式下使用 ip access-group 命令将其关联到接口:

Router(config-if)# ip access-group { access-list-number | access-list-name } { in | out }

要从接口上删除 ACL,首先在接口上输入 no ip access-group 命令,然后输入全局命令 no access-list 删除整个 ACL。

ACL常用命令及工作原理的更多相关文章

  1. apt-get常用命令及工作原理

    https://blog.csdn.net/mosquito_zm/article/details/63684608

  2. linux命令管道工作原理与使用方法

    一.管道定义 管道是一种两个进程间进行单向通信的机制.因为管道传递数据的单向性,管道又称为半双工管道.管道的这一特点决定了器使用的局限性.管道是Linux支持的最初Unix IPC形式之一,具有以下特 ...

  3. ping命令知识 Ping命令工作原理详解

    在网络应用中,ping网速与IP地址等都是非常常用的命令,但大家知道ping命令的工作原理吗?要知道这其中的奥秘,我们有必要来看看Ping命令的工作过程到底是怎么样的.下面介绍下ping命令的详细知识 ...

  4. linux常用命令详解

    Linux提供了大量的命令,利用它可以有效地完成大量的工作,如磁盘操作.文件存取.目录操作.进程管理.文件权限设定等.所以,在Linux系统上工作离不开使用系统提供的命令.要想真正理解Linux系统, ...

  5. linux常用命令加实例大全

    目  录引言    1一.安装和登录    2(一)    login    2(二)    shutdown    2(三)    halt    3(四)    reboot    3(五)    ...

  6. 零基础学习Linux必会的60个常用命令

    Linux必学的60个命令Linux提供了大量的命令,利用它可以有效地完成大量的工 作,如磁盘操作.文件存取.目录操作.进程管理.文件权限设定等.所以,在Linux系统上工作离不开使用系统提供的命令. ...

  7. linux常用命令与实例小全

    转至:https://www.cnblogs.com/xieguohui/p/8296864.html  linux常用命令与实例小全 阅读目录(Content) 引言 一.安装和登录 (一)    ...

  8. Linux入门之常用命令(14) kill

    Linux kill 命令使用详解 功能说明:删除执行中的程序或工作. 语 法:kill [-s <信息名称或编号>][程序] 或 kill [-l <信息编号>] 补充说明: ...

  9. Linux学习之常用命令(三)

    常用命令之工作目录 显示当前目录 pwd[选项] 切换目录 cd [文件路径] cd /root 注意:可以使用Tab键进行路径补齐 cd .. >>返回上次的目录 显示目录以及文件信息 ...

随机推荐

  1. UML建模—EA创建Class(类图)

    1.新建类图 2.添加类或接口 在类图可以捕获系统-类-和模型组件的逻辑结构.它是一个静态模型,描述存在什么,有哪些属性和行为,而不管如何去做. 说明关系之间的类和接口; 泛化. 聚合和关联是在分别反 ...

  2. web中的HTTP协议

    HTTP协议(HyperText Transfer Protocol 超文本传输协议),是浏览器接收web页面和发送web页面请求的标准协议.HTTP协议是基于TCP/IP协议的,版本号有Http1. ...

  3. springmvc 登陆拦截器 配合shiro框架使用

    public class LoginHandlerInterceptor extends HandlerInterceptorAdapter{ @Override public boolean pre ...

  4. JavaScirpt(JS)——BOM浏览器对象模型

    一.BOM概念 BOM(Browser Object Model)即浏览器对象模型.可以对浏览器窗口进行访问和操作.使用 BOM,开发者可以移动窗口.改变状态栏中的文本以及执行其他与页面内容不直接相关 ...

  5. 原生js的math对象

    Math对象方法 //返回最大值 var max=Math.max(95,93,90,94,98); console.log(max); //返回最小值 var min=Math.min(95,93, ...

  6. Visual Studio Code打开终端控制台

    刚学习Node.js开发,使用vscode开发工具.一开始使用Windows命令窗口输出Node结果,但是觉得太麻烦了,每次都要从vscode开发工具切换到Windows命令窗口,来来回回. 然后想, ...

  7. Java入门到精通——框架篇之Spring源码分析Spring两大核心类

    一.Spring核心类概述. Spring里面有两个最核心的类这是Spring实现最重要的部分. 1.DefaultListableBeanFactory 这个类位于Beans项目下的org.spri ...

  8. vim右键粘贴 等杂

    putty连上linux,vim编辑个文件,我去,右键不能用用上下面的命令,就好了. set mouse-=a 今天发现mysql倒入utf-8的文件网站显示出来都是乱码,不过用utf-8的控制台看是 ...

  9. Jenkins新建节点,启动方式没有“通过Java Web启动代理”选项怎么办?

    在Jenkins中,打开“系统管理”→“管理节点”→“新建节点”页面时,“启动方式”选项没有“通过Java Web启动代理”,怎么办? 打开“系统管理”,进入“全局安全配置”页面. 1. “JNLP代 ...

  10. Fidder详解之get和post请求

    前言 本文会对Fidder这款工具的一些重要功能,进行详细讲解,带大家进入Fidder的世界,本文会让你明白,Fidder不仅是一个抓包分析工具,也是一个请求发送工具,更加可以当作为Mock Serv ...