关于ACL的疑惑
ACL既可用于匹配路由,又可以用于匹配数据,我对这两种用法总有点分不清和疑惑,求大神解说下 谢谢了附上上海学员的理解分享:
SH-CCNA-崔丽慧<sxcuilihui@163.com>15:50:59
最简单的说 ACL 是工具,
看你在什么地方使用,
如果是针对路由,希望做路由条目的过滤,那就匹配路由的过滤
如果是针对流量,希望做数据流量的过滤,比如禁止某些网段的主机访问网络或者访问某种TCP UDP服务。
在做路由过滤的时候,一般使用标准访问列表即可,过滤条目。
在做数据过滤的时候,根据需要使用标准或者扩展ACL。
应用场合也不同,数据过滤都是在接口下引用ACL,ip access-group x in/out
路由条目的过滤,一般是配合route-map来完成。 查看CCNA 510页的访问列表号码范围
ACL匹配路由,属于控制层面,它匹配的是路由条目是否通过。
ACL匹配数据,属于数据层面,它匹配的是你所发起的数据能否通过。
举个通俗的例子:比如福州去往厦门时,允许建立什么方向的高速公路,允许什么样的车在该条高速公路上行驶,那这个时候建立什么方向的高速公路就好比是通过ACL去匹配路由一个条目,是保证数据能否通过;
那允许什么样的车在该条高速公路上行驶就好比是通过ACL去匹配怎样的数据能通过。举这个例子希望对你的理解有所帮助! 子杰 发表于 2013-4-1 09:43 static/image/common/back.gif
ACL匹配路由,属于控制层面,它匹配的是路由条目是否通过。
ACL匹配数据,属于数据层面,它匹配的是你所发 ...
谢谢啊。。。比喻很形象
andersen 发表于 2013-3-30 16:05 static/image/common/back.gif
附上上海学员的理解分享:
SH-CCNA-崔丽慧15:50:59
最简单的说 ACL 是工具,
谢谢。。。。
匹配数据
一般你会在接口下找到ip access-group list_number in|out
匹配路由
一般你会在route-map下看到match ip add list_number或在路由模式下看到distribute-list list_number in|out
或者在有offset-list的地方看到offset-list后引用一个acl
两者的共同处:一旦匹配成功,show ip access-list时总会看到match数。 wantccie 发表于 2013-4-5 11:28 static/image/common/back.gif
匹配数据
一般你会在接口下找到ip access-group list_number in|out
谢谢。。。
主要还是看 ACL用的地方,用在接口下 基本是数据层面的过滤;
用在distribute-list里面或者route-map时,就是控制层面;
页:
[1]