訪問(wèn)控制列表(ACL)使用包過(guò)濾技術(shù)，戴爾深圳經(jīng)銷(xiāo)商在路由器上讀取第三層及第四層包頭中的信息，如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾，從而達(dá)到訪問(wèn)控制的目的。過(guò)濾是對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行分析以決定是允許還是阻止該數(shù)據(jù)包的過(guò)程。

    ACL可以應(yīng)用在人向或者出向接口，對(duì)于人向數(shù)據(jù)流，路由器先檢查應(yīng)用在接口的人向ACL，按照自上而下的順序匹配ACL，如果匹配到deny，則丟棄數(shù)據(jù)包返回ICMP不可達(dá)消息(ACI。結(jié)尾隱含denyany)；如果匹配permit，則查找路由表并且進(jìn)而判斷目的地址是否可路由，如果不可以，則返回ICMP不可達(dá)消息；如果可以，則將數(shù)據(jù)轉(zhuǎn)發(fā)到出接口。到出接口后看是否有出向ACL，同樣的，按照ACL的檢查流程，根據(jù)具體情況判斷是轉(zhuǎn)發(fā)數(shù)據(jù)還是丟棄數(shù)據(jù)。

     本書(shū)只討論CISCO公司兩種類(lèi)型的ACI。：標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。

(1)標(biāo)準(zhǔn)ACL。標(biāo)準(zhǔn)ACL通過(guò)使用IP包中的源IP地址進(jìn)行過(guò)濾，表號(hào)范圍是1～99或1300—1999。

(2)擴(kuò)展ACI。。擴(kuò)展ACL可以針對(duì)協(xié)議類(lèi)型、源地址、目的地址、源端口、目的端口、TCP連接建立等進(jìn)行過(guò)濾，表號(hào)范圍100～199或2000～2699。

ACL工作方式包括以下幾個(gè)原則。

(1)自上而下順序處理。ACL表項(xiàng)的檢查從第一個(gè)表項(xiàng)開(kāi)始，按照自上而下的順序進(jìn)

行，一旦匹配某一條件，就停止檢查后續(xù)的表項(xiàng)。ACI。表項(xiàng)的最后一項(xiàng)是隱含的deny any

any，意味著如果數(shù)據(jù)包與所有行都不配的話，將被丟棄。

(2)尾部添加新表項(xiàng)。新的表項(xiàng)在不指定序號(hào)的情況下，默認(rèn)被添加到ACL的末尾。

(3)ACI。放置原則。標(biāo)準(zhǔn)ACL盡量靠近目的端口，戴爾服務(wù)器深圳因?yàn)槠渲皇褂迷吹刂罚绻麑⑵淇拷磿?huì)阻止數(shù)據(jù)包流向其他端口。擴(kuò)展ACI。盡量放置在靠近源端口的位置上，盡早拒絕數(shù)據(jù)包，避免浪費(fèi)網(wǎng)絡(luò)帶寬。

(4)過(guò)濾。路由器不對(duì)自身產(chǎn)生的IP數(shù)據(jù)包進(jìn)行過(guò)濾。