ACL根据IP包及TCP或UDP数据段中的信息来对数据流进行判断,即根据第3层及第4层的头部信息进行判断。其使用的判别标准包括:源IP、目的IP、协议类型(IP、UDP、TCP、ICMP)、源端口号、目的端口号等。ACL可以根据这五个要素中的一个或多个要素的组合来作为判别的标准。
接下来以应用在外出接口方向(outbound)的ACL为例,说明ACL的工作流程。首先数据包进入路由器的接口,根据目的地址查找路由表,找到转发接口(如果路由表中没有相应的路由条目,路由器会直接丢弃此数据包,并给源主机发送目的不可达消息)。确定外出接口后,需要检查是否在外出接口上配置了ACL,如果没有配置ACL,路由器将做与外出接口数据链路层协议相同的2层封装,并转发数据。如果在外出接口上配置了ACL,则要根据ACL制定的原则对数据包进行判断,如果匹配了某一条ACL的判断语句并且这条语句的关键字是perm it,则转发数据包。如果匹配了某一条ACL的判断语句并且这条语句的关键字不是perm it,而是deny,则丢弃数据包。
在进行ACL过滤时,需要注意每个ACL可以有多条语句(规则)组成,当一个数据包要通过ACL的检查时首先检查ACL中的第一条语句。如果匹配其判别条件则依据这条语句所配置的关键字对数据包操作。如果关键字是perm it则转发数据包,如果关键字是deny则直接丢弃此数据包。如果没有匹配第一条语句的判别条件则进行下一条语句的匹配,同样如果匹配其判别条件则依据这条语句所配置的关键字对数据包操作。如果关键字是perm it则转发数据包,如果关键字是deny则直接丢弃此数据包。这样的过程一直进行,一旦数据包匹配了某条语句的判别语句则根据这条语句所配置的关键字或转发或丢弃。如果一个数据包没有匹配上ACL中的任何一条语句则会被丢弃掉,因为缺省情况下每一个ACL在最后都有一条隐含的匹配所有数据包的条目,其关键字是deny。(www.xing528.com)
总的来说,ACL内部的处理过程就是自上而下,顺序执行,直到找到匹配的规则。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
