2018-09-11 13:51

标签:

　　访问控制列表(Access Control List，ACL)是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，就比如说IP、IPX、AppleTalk等等。今天小编给大家带来的教程是：Cisco路由技术之关于ACL功能、原理和局限性的知识点。

关于ACL功能、原理和局限性的知识点_VOIP_VPN_Cisco_课课家

　　刚刚小编已经说了，在网络里面大家最常说的ACL，事实上它就是Cisco iOS所为大家提供的一种访问控制技术。在最初期的时候，仅仅只是在路由器上面支持而已，然而在最近的几年以来它已经成功的扩展到三层交换机，有一部分最新的二层交换机就比如说2950之类也慢慢的开始提供ACL的支持了。只不过所支持的特性，也不是特别的完善而已。

　　与此同时，在其它厂商的路由器或者是多层交换机上也提供与它相类似的技术，不过名称以及配置的方式都可能有会有一些比较细微的差别。那么在这一篇教程里面，全部的配置实例通通都是基于Cisco IOS里面的ACL进行编写出来的。

　　一、功能介绍

　　首先小编就为大家介绍一下关于ACL功能吧，在网络里面的节点资源节点以及用户节点两大类，在这其中资源节点主要就是用于提供数据或者是服务的，另外一种用户节点访问资源节点所提供的服务以及数据。除此之外，ACL的最主要功能就是一个方面是能够保护到资源节点，阻止非法用户对于资源节点的访问，然而另外一个方面就是用来限制一些特定的用户节点所可以具备的访问权限。

　　二、基本原理

　　在这里，小编就为大家简单的介绍一下它的基本原理吧，大家都应该知道ACL使用的是包过滤技术（基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤），在路由器上面读取第三层以及第四层包头里面的信息。就比如说目的地址、源地址、源端口、目的端口等等，大家仅仅只需要根据预先定义好的规则对于包进行过滤，这样子的话就能够达到访问控制的目的了。

　　三、局限性

　　接下来，小编就说一下ACL的局限性吧。正正就是因为ACL是使用包过滤这一种技术来实现的，呢么过滤的依据又仅仅只是第三层以及第四层包头里面的部分信息，这一种技术事实上是具有一些比较固有的局限性，就比如说没有办法识别到具体的人，也没有办法识别到应用内部的权限级别等等。所以假如说大家想要达到endtoend的权限控制这一个目的的话，那么就需要和系统级以及应用级的访问权限控制一起结合使用了。

　　四、配置ACL的基本原则

　　最后小编要为大家介绍的就是配置ACL的基本原则，在实施ACL的这一个过程里面，大家都应该遵循下面这两个基本原则。具体的基本原则如下：

　　第一种原则：最靠近受控对象原则，这一种原则也就是全部的网络层访问权限控制。

　　第二种原则：最小特权原则，这一种原则也就是仅仅只给受控对象完成任务所必须的最小的权限。

　　小编结语：

　　通过这篇考试认证教程，不知道大家是否已经学习关于ACL功能、原理和局限性的知识点？在这篇教程中，主要就是向大家介绍一下ACL功能、原理和局限性。希望这对大家有所帮助。