18禁网站免费,成年人黄色视频网站,熟妇高潮一区二区在线播放,国产精品高潮呻吟AV

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識(shí) > 路由器 > 路由器知識(shí)大全 > 為什么使用訪問(wèn)控制列表

為什么使用訪問(wèn)控制列表

時(shí)間: 若木635 分享

為什么使用訪問(wèn)控制列表

  訪問(wèn)控制列表使用目的:

  1、限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如隊(duì)列技術(shù),不僅限制了網(wǎng)絡(luò)流量,而且減少了擁塞。

  2、提供對(duì)通信流量的控制手段。例如可以用其控制通過(guò)某臺(tái)路由器的某個(gè)網(wǎng)絡(luò)的流量。

  3、提供了網(wǎng)絡(luò)訪問(wèn)的一種基本安全手段。例如在公司中,允許財(cái)務(wù)部的員工計(jì)算機(jī)可以訪問(wèn)財(cái)務(wù)服務(wù)器而拒絕其他部門(mén)訪問(wèn)財(cái)務(wù)服務(wù)器。

  4、在路由器接口上,決定某些流量允許或拒絕被轉(zhuǎn)發(fā)。例如,可以允許FTP的通信流量,而拒絕TELNET的通信流量。

  工作原理:

  ACL中規(guī)定了兩種操作,所有的應(yīng)用都是圍繞這兩種操作來(lái)完成的:允許、拒絕。

  注意:ACL是CISCO IOS中的一段程序,對(duì)于管理員輸入的指令,有其自己的執(zhí)行順序,它執(zhí)行指令的順序是從上至下,一行行的執(zhí)行,尋找匹配,一旦匹配則停止繼續(xù)查找,如果到末尾還未找到匹配項(xiàng),則執(zhí)行一段隱含代碼——丟棄DENY.所以在寫(xiě)ACL時(shí),一定要注意先后順序。

  例如:要拒絕來(lái)自172.16.1.0/24的流量,把ACL寫(xiě)成如下形式:

  允許172.16.0.0/18

  拒絕172.16.1.0/24

  允許192.168.1.1/24

  拒絕172.16.3.0/24

  那么結(jié)果將于預(yù)期背道而馳,把表一和表二調(diào)換過(guò)來(lái)之后,再看一下有沒(méi)有問(wèn)題:

  拒絕172.16.1.0/24

  允許172.16.0.0/18

  允許192.168.1.1/24

  拒絕172.16.3.0/24

  發(fā)現(xiàn)172.16.3.0/24和剛才的情況一樣,這個(gè)表項(xiàng)并未起到作用,因?yàn)閳?zhí)行到表二就發(fā)現(xiàn)匹配,于是路由器將會(huì)允許,和我們的需求完全相反,那么還需要把表項(xiàng)四的位置移到前面。

  最后變成這樣:

  拒絕172.16.1.0/24

  拒絕172.16.3.0/24

  ACL是一組判斷語(yǔ)句的集合,它主要用于對(duì)如下數(shù)據(jù)進(jìn)行控制:

  1、入站數(shù)據(jù);

  2、出站數(shù)據(jù);

  3、被路由器中繼的數(shù)據(jù)

  工作過(guò)程

  1、無(wú)論在路由器上有無(wú)ACL,接到數(shù)據(jù)包的處理方法都是一樣的:當(dāng)數(shù)據(jù)進(jìn)入某個(gè)入站口時(shí),路由器首先對(duì)其進(jìn)行檢查,看其是否可路由,如果不可路由那么就丟棄,反之通過(guò)查路由選擇表發(fā)現(xiàn)該路由的詳細(xì)信息——包括AD,METRIC……及對(duì)應(yīng)的出接口;

  2、這時(shí),我們假定該數(shù)據(jù)是可路由的,并且已經(jīng)順利完成了第一步,找出了要將其送出站的接口,此時(shí)路由器檢查該出站口有沒(méi)有被編入ACL,如果沒(méi)有ACL 的話,則直接從該口送出。如果該接口編入了ACL,那么就比較麻煩。第一種情況——路由器將按照從上到下的順序依次把該數(shù)據(jù)和ACL進(jìn)行匹配,從上往下,逐條執(zhí)行,當(dāng)發(fā)現(xiàn)其中某條ACL匹配,則根據(jù)該ACL指定的操作對(duì)數(shù)據(jù)進(jìn)行相應(yīng)處理(允許或拒絕),并停止繼續(xù)查詢(xún)匹配;當(dāng)查到ACL的最末尾,依然未找到匹配,則調(diào)用ACL最末尾的一條隱含語(yǔ)句deny any來(lái)將該數(shù)據(jù)包丟棄。

  對(duì)于ACL,從工作原理上來(lái)看,可以分成兩種類(lèi)型:

  1、入站ACL

  2、出站ACL

  上面的工作過(guò)程的解釋是針對(duì)出站ACL的。它是在數(shù)據(jù)包進(jìn)入路由器,并進(jìn)行了路由選擇找到了出接口后進(jìn)行的匹配操作;而入站ACL是指當(dāng)數(shù)據(jù)剛進(jìn)入路由器接口時(shí)進(jìn)行的匹配操作,減少了查表過(guò)程。

  并不能說(shuō)入站表省略了路由過(guò)程就認(rèn)為它較之出站表更好,依照實(shí)際情況而定:

  如圖所示,采用基本的ACL——針對(duì)源的訪問(wèn)控制:

  要求如下:

  1、拒絕1.1.1.2訪問(wèn)3.1.1.2但允許訪問(wèn)5.1.1.2

  2、拒絕3.1.1.2訪問(wèn)1.1.1.2但允許訪問(wèn)5.1.1.2

  采用基本的ACL來(lái)對(duì)其進(jìn)行控制

  R1(config)#access-list 1 deny 1.1.1.2 0.0.0.255

  R1(config)#access-list 1 permit any

  R1(config)#int e0

  R1(config-if)#access-group 1 in

  R2(config)#access-list 1 deny 3.1.1.2 0.0.0.255

  R2(config)#access-list 1 permit any

  R2(config)#int e0

  R2(config-if)#access-group 1 in

  從命令上來(lái)看,配置似乎可以滿(mǎn)足條件。

  允許172.16.0.0/18

  允許192.168.1.1/24

  可以發(fā)現(xiàn),在ACL的配置中的一個(gè)規(guī)律:越精確的表項(xiàng)越靠前,而越籠統(tǒng)的表項(xiàng)越靠后放置。

  假定從1.1.1.2有數(shù)據(jù)包要發(fā)往3.1.1.2,進(jìn)入路由器接口E0后,這里采用的是入站表,則不需查找路由表,直接匹配ACL,發(fā)現(xiàn)有語(yǔ)句 access-list 1 deny 1.1.1.2 0.0.0.255拒絕該數(shù)據(jù)包,丟棄;假定從3.1.1.2有數(shù)據(jù)包要發(fā)往1.1.1.2,同上。

  當(dāng)1.1.1.2要和5.1.1.2通信,數(shù)據(jù)包同樣會(huì)被拒絕掉。

  當(dāng)3.1.1.2要和5.1.1.2通信,數(shù)據(jù)包也會(huì)被拒絕掉。

  該ACL只能針對(duì)源進(jìn)行控制,所以無(wú)論目的是何處,只要滿(mǎn)足源的匹配,則執(zhí)行操作。

  以上就是學(xué)習(xí)啦帶給大家不一樣的精彩。想要了解更多精彩的朋友可以持續(xù)關(guān)注學(xué)習(xí)啦,我們將會(huì)為你奉上最全最新鮮的內(nèi)容哦! 學(xué)習(xí)啦,因你而精彩。希望會(huì)對(duì)你有所幫助。

114372