第二章 访问控制列表ACL.pptVIP

一个ACL是一组判断语句的集合，它对下列数据报进行控制： 1、入站接口的数据包 2、通过路由器进行中继的数据包 3、从出站接口跳出路由器的数据包(而路由器本身发出的分组是不起作用的) 利用ACL 来过滤，必须把ACL 应用到需要过滤的那个路由器的接口上，否则ACL 是不会起到过滤作用的。而且你还要定义过滤的方向，比如是是想过滤从Internet 到你企业网的数据包呢？还是想过滤从企业网传出到Internet 的数据包呢? 方向分为下面2 种： 1、Inbound（入站） ACL：先处理,再路由 2、Outbound（出站）ACL：先路由,再处理 访问列表(access lists)的主要作用是过滤你不想要的数据包，设置ACL 的一些规则如下： 1、按顺序的比较：先比较第一行，如果不匹配，再比较第二行，依次类推直到最后一行。 2、从第一行起，直到找到一个符合条件的行；符合以后，其余的行就不再继续比较下去。 3、默认在每个ACL 中的最后一行为隐含的拒绝(deny)；如果之前没找到一条许可(permit)语句，意味着包将被丢弃。所以每个ACL 必须至少要有一行permit 语句，除非你想要所有数据包丢弃。 通配符掩码是一个32位比特位的数字字符串，它被用点号分成4个8位组，每个8位组包含8个比特位。 不同于IP子网掩码；通配符掩码中，0表示”相应的地址位必须被测试“；掩