CCNA讲义之IOS篇一访问控制列表控制概述访问控制列表（ＡＣＬ）是应用在路由器接口的指令列表（即规则）．具有同一个访问列表表号或名称的access-list语句，便组成了一个逻辑列或指令列表．这些指令列表用来告诉路由器，哪些数据包可以接收，哪些数据包需要拒绝基本原理：ＡＣＬ使用包过滤技术，在路由器上，读取第３层及第４层包头中的信息，如源地址、目的地址、源端口、目标端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的ＡＣＬ适用于所有的路由协议。可以在路由器或多层交换机上配置ＡＣＬ，来控制对特定网络资源的访问ＡＣＬ可分为两种基本类型：＞标准访问控制列表：检查被路由数据包的源地址．其结果基于源网络／子网／主机ＩＰ地址，来决定是允许还是拒绝转发数据包．它使用１到９９之间的数据作为表号＞扩展访问控制列表：对数据包的源地址与目标地址均进行检查．它也能检查特定的协议、端口号以及其他参数。它使用１００～１９９之间的数据作为表号１访问控制列表的工作原理１＞访问控制列表的作用访问控制列表最常见的用途是作为数据包的过滤器其他的一些用处：＞可指定某种类型的数据包的优先级，以对某些数据包优先处理；＞访问控制列表不定期可以用来识别触发按需拨号路由选择（ＤＤＲ）的相关通信量；＞访问控制列表也是路由映射的基本组成部分总的来说，ＡＣＬ能够用来：＞提供网络访问的基本安全手段．＞访问控制列表可用于ＱＯＳ（QualtyofService，服务质量），对数据流量进行控制．＞提供对通信流量的控制手段．２路由器对访问控制列表的处理过程ＡＣＬ是一组判断语句的集合，具体对下列数据包进行检测并控制：＞从入站接口进入路由器的数据包＞从出站接口离开路由器的数据包访问控制列表对路由器本身产生的数据包不起作用．是否应用了访问控制列，路由器对数据包处理的过程是不一样的．路由器会检查接口上是否应用了访问控制列表：如果接口上没有ＡＣＬ，就对这个数据包继续进行常规处理如果对接口应用了访问控制列表，与该接口相关的一系列访问控制列表语句组合，将会检测它＞若第一条不匹配，则将集资往下进行判断，直到有任一条语句匹配，则不再继续判断，路由器将决定该数据包允许通过或拒绝通过＞若最后没有任一条语句匹配，则路由器根据默认处理方式丢弃该数据包＞基于ＡＣＬ的测试条件，数据包要么被允许，要么被拒绝，如果数据包满足了ＡＣＬ的permit的测试条件，数据包就可以被路由器继续处理．如果数据包满足了ＡＣＬ的deny的测试条件，就简单丢弃该数据包．一旦数据包被丢弃，某些协议将返回一个数据包一发送端，以表明目的地址是不可到达的根据数据对访问控制列表的处理过程，在ＡＣＬ中，各描述语句的旋转顺序是很重要的．一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句．因此，要确保是按照从具体到普遍的次序来排条目要注意将较经常发生的条件放在较不经常发生的条件之彰，以提高路由器的处理效率向访问列表中加入语句时，这些语句加到到列表末发尾．对于使用编号的访问控制列表，编号列表的单个语句是无法删除的．如果管理是改变访问列，必须先删除整个访问列表，然后重新键入改变的内容只有在数据包与第一个判断条件不匹配时，它才交给ＡＣＬ中的下一个判断语句进行比较；在与某语句匹配后，就结束比较过程，不再检查以后的其他条件判断语句；如果不与任一条匹配，则它必与最后隐含的拒绝匹配最后一条隐含的判断条件语句涉及到所有条件都不匹配的数据包．这个最后的测试条件与所有其他的数据包匹配，它的匹配结果是拒绝．，如果要避免这种情况，那个，这个最后的隐含测试条件必须改为允许３访问控制列表的入与出使用命令ipaccess-group，可把访问控制列表应用到某一接口上．router(config-if)#ipaccess-groupaccess-list-number(In/OUT)入访问控制列表不处理从该接口离开路由器的数据包；而对于出访问控制列表而言，它不处理从该接口进入路由器的数据包对入标准访问控制列表处理过程：＞当接到一个数据包时，路由器检查数据包的源地址是否与访问控制列表中的条目相符＞如果访问控制列表允许该地址，那么路由器将停止检查访问控制列表，继续处理数据包＞如果访问控制列表拒绝了这个地址，那么，路由器将丢弃该数据包，并且返回一个internet控制消息协议（ＩＣＭＰ）的管理性拒绝（administrativelyprohibited）消息对于出标准访问控制列表处理过程：＞在接收并将数据包转发到相应的受控制的接口后，路由器检查数据包的源地址是否与访问控制列表中的条目相符．＞如果访问控制列表允许该地址，那么路由器将传输该地址＞如果访问控制列表拒绝