文档介绍:一、 esscontrollist访问控制列表数据分类工具:区分流向网络设备的数据流,基于特定数据流的特征区分数据特征:源IP源、目标IP协议号端口号其他一些信息ACL使用目的:区分数据以便统一执行规定的动作包过滤:定义丢弃或放通的数据特征。丢弃一些数据;放通另外一些数据。NAT:定义要转换的地址。IPSec/VPN:定义要加密的数据QoS:区分不同的业务数据路由策略:定义要控制的路由按需拨号;定义感兴趣的流量ACL分类:标准ACL:基于源IP进行分类;编号2~99扩展ACL:基于源IP、口标IP、协议号、端口号、应用层;编号100-199命名ACL:就是把编号取代为名字,并用关键字区分标准或扩展。二、 包过滤:通过定义数据的特征,丢弃/放通一些数据在特定的设备,特定的接口,特定的方向上绑定人口ACL:针对从该接口进入的数据进行包过滤出口ACL:针对从该接口离开该设备的数据进行包过滤针对特定的一个接口,一个协议,一个方向上只能使用一个ACLACL默认不控制自己产生的数据路由器处理数据包的流程:ACL前:接口收到数据,述原成二层帧基于目标IP查找路由表,找到出口针对出口完成二层重写并封装ACL后:人口ACL:接口收到数据,述原成二层帧首先进行基于ACL的包过滤被放通的数据查找路由表找出口基于岀口完成二层重写出口ACL:接口收到数据,述原成二层帧基于目标IP查找路由表,找出口如果接口有出口ACL,则进行包过滤允许的数据基于岀口完成二层重写三、 ACL的基本原则ACL的语句由两部分组成:条件、ess-,如果符合条件则执行规定的操纵动作。ACL由ACL号绑定多条语句匹配顺序:先上后下执行查找CiscoACL缺省有一条隐藏语句:Denyany;、经常匹配的放在前面、粗略的放在后面标准IP访问列表(1-99,1300-1999):只使用SIP信息来过滤决定。扩展IP访问列表(100-199,2000-2699):根据源和目的IP地址、源和目的端口、协议类型等信息作出过滤。不能单独删除ACL中的某些语句命名ACL支持单独删除ACL屮的某条语句ACL对CPU有一定的考验~四、 ess-list[#]permit/ess-groupacl#in/out命名方式ACL:ess-liststandard/pConfig-acl#permit#ordeny#可以针对特定的语句进行添加、ess-pin/out自反ACL带Established选项的ACL检查TCP头部中的Ack或Rst位,如果该位置1则符合Estalbished选项交换网络中的ACLRael:路由ACL应用于交换机三层接口上的ACL(IP流的ACL)Pack端口ACL应用于交换机二层接口的ACL,只对In方向的匹配,可以定义IP流和非IP流Mac-Acl:ess-list1denymac_pclIntfO/2;ess-group1inVlan-map:定义ACL:定义数据流Vlan-map:ess--pv