雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 2212|回复: 9

关于ACL的疑惑

[复制链接]
发表于 2013-3-30 13:05:12 | 显示全部楼层 |阅读模式
ACL既可用于匹配路由,又可以用于匹配数据,我对这两种用法总有点分不清和疑惑,求大神解说下   谢谢了
发表于 2013-3-30 16:05:40 | 显示全部楼层
附上上海学员的理解分享:
SH-CCNA-崔丽慧<sxcuilihui@163.com>  15:50:59
最简单的说 ACL 是工具,
看你在什么地方使用,
如果是针对路由,希望做路由条目的过滤,那就匹配路由的过滤
如果是针对流量,希望做数据流量的过滤,比如禁止某些网段的主机访问网络或者访问某种TCP UDP服务。
在做路由过滤的时候,一般使用标准访问列表即可,过滤条目。
在做数据过滤的时候,根据需要使用标准或者扩展ACL。
应用场合也不同,数据过滤都是在接口下引用ACL,ip access-group x in/out
路由条目的过滤,一般是配合route-map来完成。
发表于 2013-3-30 16:16:17 | 显示全部楼层
查看CCNA 510页的访问列表号码范围
发表于 2013-4-1 09:43:29 | 显示全部楼层
ACL匹配路由,属于控制层面,它匹配的是路由条目是否通过。
ACL匹配数据,属于数据层面,它匹配的是你所发起的数据能否通过。
举个通俗的例子:比如福州去往厦门时,允许建立什么方向的高速公路,允许什么样的车在该条高速公路上行驶,那这个时候建立什么方向的高速公路就好比是通过ACL去匹配路由一个条目,是保证数据能否通过;
那允许什么样的车在该条高速公路上行驶就好比是通过ACL去匹配怎样的数据能通过。举这个例子希望对你的理解有所帮助!
 楼主| 发表于 2013-4-3 10:36:37 | 显示全部楼层
子杰 发表于 2013-4-1 09:43
ACL匹配路由,属于控制层面,它匹配的是路由条目是否通过。
ACL匹配数据,属于数据层面,它匹配的是你所发 ...

谢谢啊。。。比喻很形象
 楼主| 发表于 2013-4-3 10:37:43 | 显示全部楼层
andersen 发表于 2013-3-30 16:05
附上上海学员的理解分享:
SH-CCNA-崔丽慧  15:50:59
最简单的说 ACL 是工具,

谢谢。。。。
发表于 2013-4-5 11:28:59 | 显示全部楼层
匹配数据
一般你会在接口下找到ip access-group list_number in|out

匹配路由
一般你会在route-map下看到match ip add list_number或在路由模式下看到distribute-list list_number in|out
或者在有offset-list的地方看到offset-list后引用一个acl

两者的共同处:一旦匹配成功,show ip access-list时总会看到match数。
 楼主| 发表于 2013-4-24 14:08:47 | 显示全部楼层
wantccie 发表于 2013-4-5 11:28
匹配数据
一般你会在接口下找到ip access-group list_number in|out

谢谢。。。
发表于 2013-12-12 15:37:21 | 显示全部楼层
主要还是看 ACL用的地方,用在接口下 基本是数据层面的过滤;
用在distribute-list里面或者route-map时,就是控制层面;
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-11-21 20:25 , Processed in 0.078180 second(s), 19 queries , Gzip On.

快速回复 返回顶部 返回列表