访问控制列表(ACL)简介 CISCO之CCNA篇之七(1)
1.通常,按顺序比较访问列表的每一行,如从第一行开始,然后转到第二行、第三行等等; 2.比较访问列表的各行,直到找到匹配的一行。一旦数据包域访问列表的某一行匹配,遵照规定行事,不再进行后续比较;3.在每个访问列表的最后是一行隐含“deny(拒绝)”语句——意味着如果数据包与前面的所有行都不匹配,将被丢弃;
4.每个接口、每个协议或每个方向只可以分派一个访问列表。这意味着如果创建了IP访问列表,每个接口只能有一个入口访问列表和一个出口访问列表;
5.组织好访问列表,要将最特殊的测试放在访问列表的最前面;
6.任何时候访问列表添加新条目时,将把新条目放置到列表的末尾(强烈推荐使用文本编辑器编辑访问列表);
7.不能从访问列表中删除一行。如果试着这样做,将删除整个列表。最好在编辑列表之前将访问列表复制到一个文本编辑器中。只有使用命名访问列表时例外;
8.除非在访问列表末尾有permit any命令,否则所有和列表的测试条件都不符合的数据包将被丢弃。每个列表应当至少有一个允许语句,否则将会拒绝所有流量;
9.先创建访问列表,然后将列表应用到一个接口。任何应用到一个接口的访问列表如果不是现成的访问列表,那么此列表不会过滤流量;
10.访问列表设计为过滤通过路由器的流量,但不过滤路由器自身产生的流量;
11.将IP标准的访问列表尽可能的放置在靠近目的地址的位置。这是因为我们并不真的要在自己的网络内使用标准的访问列表。不能将标准的访问列表放置在靠近源主机或源网络的位置,因为这样会只过滤基于源地址的流量,而造成不能转发任何流量;
12.将IP扩展的访问列表尽可能放置在靠近源地址的位置。既然扩展的访问列表可以过滤每个特定的地址和协议,那么你不希望你的流量穿过整个网络后再被拒绝。通过将这样的列表放置在尽量靠近源地址的位置,可以在它使用宝贵的带宽之前过滤掉此流量。
下面是访问列表的一个允许和拒绝的测试图,希望可以帮助大家理解:
页:
[1]