我來談軟考難點——ACL訪問控制列表
我們知道訪問控制列表（ACL）是為了對路由器處理的流量進行過濾而在路由器上建立的規(guī)則，在今天路由的世界里它在改善網(wǎng)絡(luò)性能和加強網(wǎng)絡(luò)安全等方面已經(jīng)發(fā)揮出越來越重要的作用。但這個玩意是如何發(fā)揮作用的？教材上已經(jīng)有詳細的描述，我們這里簡單的說一下。
我們來看看ACL的本質(zhì)，ACL是訪問控制列表的英文縮寫，顧名思義，這個是在訪問中加于控制而建立的一張列表。現(xiàn)在，很多企業(yè)內(nèi)部都在使用路由的NAT技術(shù)進行地址轉(zhuǎn)換，而NAT技術(shù)中就包含了ACL的應(yīng)用。在中高端的路由中，通過ACL，我們可以控制哪些私有地址能上外網(wǎng)，哪些只能上內(nèi)網(wǎng)。然后把這些過濾好的數(shù)據(jù)，進行NAT轉(zhuǎn)換。同時，企業(yè)內(nèi)部也需要對服務(wù)器的資源訪問進行控制，通過ACL過濾出哪些用戶能完全訪問，哪些用戶只能限制訪問，哪些用戶不能訪問。
在從實際應(yīng)用中，我們可以這樣理解ACL的本質(zhì)其實是一種流量分類技術(shù)，它是人為定義的一組或幾組規(guī)則策略，目的是通過網(wǎng)絡(luò)設(shè)備對數(shù)據(jù)流分類，以便執(zhí)行用戶規(guī)定的動作。換句話說，ACL本身不能直接達到訪問控制的目的，它間接輔助特定的用戶策略，達到人們所需效果的一種技術(shù)手段（區(qū)分不同的數(shù)據(jù)流）。
理解的ACL的本質(zhì)后我們再來看訪問控制列表的作用
1.提供網(wǎng)絡(luò)訪問的基本安全手段
2.訪問控制列表可用于QOS,對數(shù)據(jù)流量進行控制
3.提供對通信流量的控制
訪問控制列表應(yīng)用不同決定了路由不同的處理過程
1.路由器對進入的數(shù)據(jù)包先檢查入訪問控制列表,對允許傳輸?shù)臄?shù)據(jù)包才查詢路由表
2.而對于外出的數(shù)據(jù)包則先查詢路由表,確定目標接口后才查看出訪問控制列表
接一下再來看訪問控制列表的工作原理:
ACL使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息，根據(jù)預(yù)先定義好的規(guī)則，對包進行過濾，從而達到訪問控制的目的。ACL適用于所有的路由器協(xié)議：如IP、IPX、AppleTalk，可以在路由器或多層交換機來配置來控制來自特定網(wǎng)絡(luò)資源的訪問。
ACL的兩種類型
1.標準訪問控制列表：檢查被路由數(shù)據(jù)包的源地址,使用1到99，1300至1999之間的數(shù)字作為表號，應(yīng)該把標準列表放在離目標地址近的地方。
2.擴展訪問