深入了解Cisco路由器配置詳解的ACL部分
在接觸過Cisco路由器配置詳解手冊之后,大家對Cisco路由器配置詳解問題都有了一個初步的認識,下面的文章是介紹關于ACL的基礎知識,有利于大家更輕松的學習相關內容。
Cisco路由器配置詳解:什么是ACL?
訪問控制列表簡稱為ACL,訪問控制列表使用包過濾技術,在路由器上讀取第三層及第四層包頭中的信息如源地址,目的地址,源端口,目的端口等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。該技術初期僅在路由器上支持,近些年來已經擴展到三層交換機,部分最新的二層交換機也開始提供ACL的支持了。
由于ACL涉及的Cisco路由器配置詳解命令很靈活,功能也很強大,所以我們不能只通過一個小小的例子就完全掌握全部ACL的配置。在介紹例子前為大家將ACL設置原則羅列出來,方便各位讀者更好的消化ACL知識。
訪問控制列表ACL分很多種,不同場合應用不同種類的ACL。其中最簡單的就是標準訪問控制列表,標準訪問控制列表是通過使用IP包中的源IP地址進行過濾,使用的訪問控制列表號1到99來創建相應的ACL
上面我們提到的標準訪問控制列表是基于IP地址進行過濾的,是最簡單的ACL。那么如果我們希望將過濾細到端口怎么辦呢?或者希望對數據包的目的地址進行過濾。這時候就需要使用擴展訪問控制列表了。使用擴展IP訪問列表可以有效的容許用戶訪問物理LAN而并不容許他使用某個特定服務(例如WWW,FTP等)。擴展訪問控制列表使用的ACL號為100到199。
不管是標準訪問控制列表還是擴展訪問控制列表都有一個弊端,Cisco路由器配置詳解:那就是當設置好ACL的規則后發現其中的某條有問題,希望進行修改或刪除的話只能將全部ACL信息都刪除。也就是說修改一條或刪除一條都會影響到整個ACL列表。這一個缺點影響了我們的工作,為我們帶來了繁重的負擔。不過我們可以用基于名稱的訪問控制列表來解決這個問題。
我們使用訪問控制列表除了合理管理網絡訪問以外還有一個更重要的方面,那就是防范病毒,我們可以將平時常見病毒傳播使用的端口進行過濾,將使用這些端口的數據包丟棄。這樣就可以有效的防范病毒的攻擊。
不過即使再科學的訪問控制列表規則也可能會因為未知病毒的傳播而無效,畢竟未知病毒使用的端口是我們無法估計的,而且隨著防范病毒數量的增多會造成訪問控制列表規則過多,在一定程度上影響了網絡訪問的速度。這時我們可以使用反向控制列表來解決以上的問題。
上面我們介紹了標準ACL與擴展ACL,實際上我們數量掌握了這兩種訪問控制列表就可以應付大部分過濾網絡數據包的要求了。不過實際工作中總會有人提出這樣或那樣的苛刻要求,這時我們還需要掌握一些關于ACL的高級技巧。基于時間的訪問控制列表就屬于高級技巧之一。
網絡管理員就是要能夠合理的管理公司的網絡,俗話說知己知彼方能百戰百勝,所以有效的記錄ACL流量信息可以第一時間的了解網絡流量和病毒的傳播方式。下面這篇文章就為大家簡單介紹下如何保存訪問控制列表的流量信息,方法就是在擴展ACL規則最后加上LOG命令。希望大家關注Cisco路由器配置詳解的后續部分。
【編輯推薦】
