ACL

百科解釋

　　ACL介紹
　　訪問(wèn)控制列表（Access Control List，ACL）是路由器接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。
　　ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來(lái)分別控制這三種協(xié)議的數(shù)據(jù)包。
　　ACL的作用
　　ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)。
　　ACL提供對(duì)通信流量的控制手段。例如，ACL可以限定或簡(jiǎn)化路由更新信息的長(zhǎng)度，從而限制通過(guò)路由器某一網(wǎng)段的通信流量。
　　ACL是提供網(wǎng)絡(luò)安全訪問(wèn)的基本手段。如圖1所示，ACL允許主機(jī)A訪問(wèn)人力資源網(wǎng)絡(luò)，而拒絕主機(jī)B訪問(wèn)。
　　ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。
　　ACL的執(zhí)行過(guò)程
　　一個(gè)端口執(zhí)行哪條ACL，這需要按照列表中的條件語(yǔ)句執(zhí)行順序來(lái)判斷。如果一個(gè)數(shù)據(jù)包的報(bào)頭跟表中某個(gè)條件判斷語(yǔ)句相匹配，那么后面的語(yǔ)句就將被忽略，不再進(jìn)行檢查。
　　ACL具體的執(zhí)行流程見圖2。
　　在圖2中，數(shù)據(jù)包只有在跟第一個(gè)判斷條件不匹配時(shí)，它才被交給ACL中的下一個(gè)條件判斷語(yǔ)句進(jìn)行比較。如果匹配（假設(shè)為允許發(fā)送），則不管是第一條還是最后一條語(yǔ)句，數(shù)據(jù)都會(huì)立即發(fā)送到目的接口。如果所有的ACL判斷語(yǔ)句都檢測(cè)完畢，仍沒有匹配的語(yǔ)句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。
　　這里要注意，ACL不能對(duì)本路由器產(chǎn)生的數(shù)據(jù)包進(jìn)行控制。
　　ACL的分類
　　目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。
　　標(biāo)準(zhǔn)的ACL使用 1 ~ 99 以及1300~1999之間的數(shù)字作為表號(hào) 擴(kuò)展的ACL使用 100 ~ 199以及2000~2699之間的數(shù)字作為表號(hào)
　　這兩種ACL的區(qū)別是，標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的源地址; 擴(kuò)展ACL既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，同時(shí)還可以檢查數(shù)據(jù)包的特定協(xié)議類型、端口號(hào)等。
　　網(wǎng)絡(luò)管理員可以使用標(biāo)準(zhǔn)ACL阻止來(lái)自某一網(wǎng)絡(luò)的所有通信流量，或者允許來(lái)自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。
　　擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍。例如，網(wǎng)絡(luò)管理員如果希望做到“允許外來(lái)的Web通信流量通過(guò)，拒絕外來(lái)的FTP和Telnet等通信流量”，那么，他可以使用擴(kuò)展ACL來(lái)達(dá)到目的，標(biāo)準(zhǔn)ACL不能控制這么精確。
　　在路由器配置中，標(biāo)準(zhǔn)ACL和擴(kuò)展ACL的區(qū)別是由ACL的表號(hào)來(lái)體現(xiàn)的，上表指出了每種協(xié)議所允許的合法表號(hào)的取值范圍。
　　正確放置ACL
　　ACL通過(guò)過(guò)濾數(shù)據(jù)包并且丟棄不希望抵達(dá)目的地的數(shù)據(jù)包來(lái)控制通信流量。然而，網(wǎng)絡(luò)能否有效地減少不必要的通信流量，這還要取決于網(wǎng)絡(luò)管理員把ACL放置在哪個(gè)地方。
　　假設(shè)在圖3所示的一個(gè)運(yùn)行TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)只想拒絕從RouterA的T0接口連接的網(wǎng)絡(luò)到RouterD的E1接口連接的網(wǎng)絡(luò)的訪問(wèn)，即禁止從網(wǎng)絡(luò)1到網(wǎng)絡(luò)2的訪問(wèn)。
　　根據(jù)減少不必要通信流量的通行準(zhǔn)則，網(wǎng)管員應(yīng)該盡可能地把ACL放置在靠近被拒絕的通信流量的來(lái)源處，即RouterA上。如果網(wǎng)管員使用標(biāo)準(zhǔn)ACL來(lái)進(jìn)行網(wǎng)絡(luò)流量限制，因?yàn)闃?biāo)準(zhǔn)ACL只能檢查源IP地址，所以實(shí)際執(zhí)行情況為：凡是檢查到源IP地址和網(wǎng)絡(luò)1匹配的數(shù)據(jù)包將會(huì)被丟掉，即網(wǎng)絡(luò)1到網(wǎng)絡(luò)2、網(wǎng)絡(luò)3和網(wǎng)絡(luò)4的訪問(wèn)都將被禁止。由此可見，這個(gè)ACL控制方法不能達(dá)到網(wǎng)管員的目的。同理，將ACL放在RouterB和RouterC上也存在同樣的問(wèn)題。只有將ACL放在連接目標(biāo)網(wǎng)絡(luò)的RouterD上（E0接口），網(wǎng)絡(luò)才能準(zhǔn)確實(shí)現(xiàn)網(wǎng)管員的目標(biāo)。由此可以得出一個(gè)結(jié)論: 標(biāo)準(zhǔn)ACL要盡量靠近目的端。
　　網(wǎng)管員如果使用擴(kuò)展ACL來(lái)進(jìn)行上述控制，則完全可以把ACL放在RouterA上，因?yàn)閿U(kuò)展ACL能控制源地址（網(wǎng)絡(luò)1），也能控制目的地址（網(wǎng)絡(luò)2），這樣從網(wǎng)絡(luò)1到網(wǎng)絡(luò)2訪問(wèn)的數(shù)據(jù)包在RouterA上就被丟棄，不會(huì)傳到RouterB、RouterC和RouterD上，從而減少不必要的網(wǎng)絡(luò)流量。因此，我們可以得出另一個(gè)結(jié)論：擴(kuò)展ACL要盡量靠近源端。

通信詞典解釋