+设为首页 +添加到收藏夹
扩展acl比标准acl提供了更广泛的控制范围.例如,网络管理员如果希望做到“允许外来的web通信流量通过,拒绝外来的ftp与telnet等通信流量”,那么,他可以使用扩展acl来达到目的,标准acl不能控制这么精确.
【程序编程相关:使用StopWatch类输出时间戳】 【推荐阅读:类的设计方法】 【扩展信息:在canvas类里调用textbox】 在路由器配置中,标准acl与扩展acl的区别是由acl的表号来体现的,上表指出了每种协议所允许的合法表号的取值范围.正确放置acl
acl通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量.然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把acl放置在哪个地方.
假设在图3所示的一个运行tcp/ip协议的网络环境中,网络只想拒绝从routera的t0接口连接的网络到routerd的e1接口连接的网络的访问,即禁止从网络1到网络2的访问.
根据减少不必要通信流量的通行准则,网管员应该尽可能地把acl放置在靠近被拒绝的通信流量的来源处,即routera上.如果网管员使用标准acl来进行网络流量限制,因为标准acl只能检查源ip地址,所以实际执行情况为:凡是检查到源ip地址与网络1匹配的数据包将会被丢掉,即网络1到网络2.网络3与网络4的访问都将被禁止.由此可见,这个acl控制方法不能达到网管员的目的.同理,将acl放在routerb与routerc上也存在同样的问题.只有将acl放在连接目标网络的routerd上(e0接口),网络才能准确实现网管员的目标.由此可以得出一个结论: 标准acl要尽量靠近目的端.
网管员如果使用扩展acl来进行上述控制,则完全可以把acl放在routera上,因为扩展acl能控制源地址(网络1),也能控制目的地址(网络2),这样从网络1到网络2访问的数据包在routera上就被丢弃,不会传到routerb.routerc与routerd上,从而减少不必要的网络流量.因此,我们可以得出另一个结论:扩展acl要尽量靠近源端.
acl的配置
acl的配置分为两个步骤:
... 下一页