switchandrouter16.pptVIP

第8章 访问列表 访问列表概述 访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个内容 访问列表应用在路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口 数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定 访问控制列表可以限制网络流量，提高网络性能，控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段 访问列表类型 访问列表可分为标准IP访问列表和扩展IP访问列表。 标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等 ACL的相关特性 每一个接口可以在进入（inbound）和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL ACL语句包括两个动作，一个是拒绝（deny）即拒绝数据包通过，过滤掉数据包，一个是允许(permit)即允许数据包通过，不过滤数据包。 在路由选择进行以前，应用在接口进入方向的ACL（内向ACL）起作用。 在路由选择决定以后，应用在接口离开方向的ACL（内向ACL）起作用 每个ACL的结尾有一个隐含的“拒绝的所有数据包