访问控制列表详解.pptxVIP

网络第五章 访问控制列表 目 录访问控制列表介绍访问控制列表的分类高级访问控制列表 过滤：通过过滤经过路由器的数据包来管理 IP 流量分类：标识流量以进行特殊处理访问控制列表(Access Control List，ACL) 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。基本原理 允许或拒绝经过路由器的数据包允许或拒绝来自路由器或到路由器的 vty 访问如果没有 ACL，所有数据包会发往网络的所有部分基本原理-过滤 根据数据包测试情况对流量进行特殊处理基本原理-分类 如果没有 ACL 语句匹配，则丢弃数据包ACL匹配原则 1、最小特权原则　　只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。2、最靠近受控对象原则　　所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。3、默认丢弃原则　　在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。ACL匹配原则 目 录访问控制列表介绍访问控制列表的分类高级访问控制列表 标准 ACL– 检查源地址– 通常允许或拒绝整个协议簇扩展 ACL– 检查