+设为首页 +添加到收藏夹
访问控制列表(access control list,acl) 是路由器接口的指令列表,用来控制端口进出的数据包.acl适用于所有的被路由协议,如ip.ipx.appletalk等.
acl的作用 【程序编程相关:使用StopWatch类输出时间戳】
acl的定义也是基于每一种协议的.如果路由器接口配置成为支持三种协议(ip.appletalk以及ipx)的情况,那么,用户必须定义三种acl来分别控制这三种协议的数据包. 【推荐阅读:类的设计方法】
acl提供对通信流量的控制手段.例如,acl可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量. 【扩展信息:在canvas类里调用textbox】
acl可以限制网络流量.提高网络性能.例如,acl可以根据数据包的协议,指定数据包的优先级.
acl是提供网络安全访问的基本手段.acl允许主机a访问人力资源网络,而拒绝主机b访问.
acl可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞.例如,用户可以允许e-mail通信流量被路由,拒绝所有的telnet通信流量.
acl的执行过程
一个端口执行哪条acl,这需要按照列表中的条件语句执行顺序来判断.如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查.
数据包只有在跟第一个判断条件不匹配时,它才被交给acl中的下一个条件判断语句进行比较.如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口.如果所有的acl判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃.
这里要注意,acl不能对本路由器产生的数据包进行控制.
acl的分类
目前有两种主要的acl:标准acl与扩展acl.
这两种acl的区别是,标准acl只检查数据包的源地址; 扩展acl既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型.端口号等.
网络管理员可以使用标准acl阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如ip)的所有通信流量.
... 下一页