acl過濾數據包

㈠ 在ACL中,每個數據包判斷能否轉發的過程是什麼

如果一個埠設置了ACL，那麼這個埠的默認狀態就是禁止通過，這一點很重要埠收到一個數版據包，首先判斷權ACL的第一條規則，有符合和不符合兩種情況如果符合，則按該條規則中的規定予以允許通過，或者禁止通過，不管下面還有多少條規則，一律無視。如果不符合，則判定第二條規則，第二條的判定和第一條同樣，符合，則執行規則，不符合，繼續判定第三條`直到所有的規則都判定完畢，條件仍不符合，那麼執行該埠的默認狀態，就是禁止通過`

㈡ ACL只能過濾穿過路由器的數據流量，不能過濾由本路由器上發出的數據包...

你好。
前半句：其他地方來的途經路由器的數據包，路由器會根據ACL過濾。
後半句：路由內器自己會產容生很多數據包（比如icmp數據包，鏈路狀態通告，路由表通告等等），自己發出的數據包，就直接按目標地址發送出去了。

㈢ 如何禁止某個IP的數據包通過交換機某個埠或所有埠

如果是要禁止和某IP的所有連接或者是禁止和某IP的某個埠的連接，那麼只能用內ACL來實現
ACL其實很簡單，具體要看容你的交換機品牌和型號了，有的交換機有WEB控制頁面，直接圖形化配置ACL,你只需要指明源IP地址，目標IP地址，所應用的服務埠就可以了。

㈣ 企業級交換機acl數據包過濾靠協議嗎

不是，是靠 ip地址 埠號來過濾的。

㈤ 基本acl能檢查數據包的哪些欄位

ACL介紹
訪問控制列表（Access Control List,ACL） 是路由器介面的指令列表,用來控制埠進出的數據包.ACL適用於所有的被路由協議,如IP、IPX、AppleTalk等.
ACL的定義也是基於每一種協議的.如果路由器介面配置成為支持三種協議（IP、AppleTalk以及IPX）的情況,那麼,用戶必須定義三種ACL來分別控制這三種協議的數據包.
ACL的作用
ACL可以限制網路流量、提高網路性能.例如,ACL可以根據數據包的協議,指定數據包的優先順序.
ACL提供對通信流量的控制手段.例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量.
ACL是提供網路安全訪問的基本手段.如圖1所示,ACL允許主機A訪問人力資源網路,而拒絕主機B訪問.
ACL可以在路由器埠處決定哪種類型的通信流量被轉發或被阻塞.例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量.
ACL的執行過程
一個埠執行哪條ACL,這需要按照列表中的條件語句執行順序來判斷.如果一個數據包的報頭跟表中某個條件判斷語句相匹配,那麼後面的語句就將被忽略,不再進行檢查.
ACL具體的執行流程見圖2.
在圖2中,數據包只有在跟第一個判斷條件不匹配時,它才被交給ACL中的下一個條件判斷語句進行比較.如果匹配（假設為允許發送）,則不管是第一條還是最後一條語句,數據都會立即發送到目的介面.如果所有的ACL判斷語句都檢測完畢,仍沒有匹配的語句出口,則該數據包將視為被拒絕而被丟棄.
這里要注意,ACL不能對本路由器產生的數據包進行控制.
ACL的分類
目前有兩種主要的ACL:標准ACL和擴展ACL.
標準的ACL使用 1 99 以及1300~1999之間的數字作為表號 擴展的ACL使用 100 199以及2000~2699之間的數字作為表號
這兩種ACL的區別是,標准ACL只檢查數據包的源地址; 擴展ACL既檢查數據包的源地址,也檢查數據包的目的地址,同時還可以檢查數據包的特定協議類型、埠號等.
網路管理員可以使用標准ACL阻止來自某一網路的所有通信流量,或者允許來自某一特定網路的所有通信流量,或者拒絕某一協議簇（比如IP）的所有通信流量.
擴展ACL比標准ACL提供了更廣泛的控制范圍.例如,網路管理員如果希望做到「允許外來的Web通信流量通過,拒絕外來的FTP和Telnet等通信流量」,那麼,他可以使用擴展ACL來達到目的,標准ACL不能控制這么精確.
在路由器配置中,標准ACL和擴展ACL的區別是由ACL的表號來體現的,上表指出了每種協議所允許的合法表號的取值范圍.

㈥ 路由器是怎樣應用ACL對數據包進行檢查的

例如，數據包到達路由介面，路由器就會處理數據包，處理方式有路由策略，ACL，路由表。。。在ACL中會自上而下的一條一條的進行匹配，當匹配上時就會做相應的處理，deny或者permit，

㈦ 我在華為路由器上用ACL封了除了ftp.http.telnet.4410.3389之外的埠，怎麼還是有TCP數據包殺過來

如果你的E0是內網。請改成inbound方向

㈧ 三層交換機上連防火牆的作用就是為了用acl做個簡單過濾嗎如果是的話,那數據流向是怎麼走的啊

建議你研究一下路由器的工作原理，特別是路由表

我見到說一下吧，三層設備（包括內三層交換機和路由器）容收到一個數據包究竟要如何轉發是通過匹配自身的路由表，找到下一跳地址的~
假如你有兩個vlan 一個是10.10.10.0/24 另一個是 192.168.0.0/24
當然你的三層交換機會擁有到這兩個網段的路由（直連路由），那當然知道要如何轉發，但假如收到的數據包目的地址是2.2.2.2 ，明顯你的三層交換機沒有到則個地址的路由吧，但一般這個三層交換機都會配置一條默認路由的，也就是在自身路由便查不到往哪裡發的情況下就網某個地址發~
所以你的三層交換機會把默認路由指向你的防火牆（你的網路出口，假設你在防火牆開了nat），到了防火牆自然就可以進行過濾了

補充回答：
當然是送到10.10.10.0/24這個vlan，理所當然地也不會通過防火牆~

㈨ ACL的闡述

ACL介紹
訪問控制列表（Access Control List，ACL） 是路由器介面的指令列表，用來控制埠進出的數據包。ACL適用於所有的被路由協議，如IP、IPX、AppleTalk等。
ACL的定義也是基於每一種協議的。如果路由器介面配置成為支持三種協議（IP、AppleTalk以及IPX）的情況，那麼，用戶必須定義三種ACL來分別控制這三種協議的數據包。
ACL的作用
ACL可以限制網路流量、提高網路性能。例如，ACL可以根據數據包的協議，指定數據包的優先順序。
ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量。
ACL是提供網路安全訪問的基本手段。如圖1所示，ACL允許主機A訪問人力資源網路，而拒絕主機B訪問。
ACL可以在路由器埠處決定哪種類型的通信流量被轉發或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。
ACL的執行過程
一個埠執行哪條ACL，這需要按照列表中的條件語句執行順序來判斷。如果一個數據包的報頭跟表中某個條件判斷語句相匹配，那麼後面的語句就將被忽略，不再進行檢查。
ACL具體的執行流程見圖2。
在圖2中，數據包只有在跟第一個判斷條件不匹配時，它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配（假設為允許發送），則不管是第一條還是最後一條語句，數據都會立即發送到目的介面。如果所有的ACL判斷語句都檢測完畢，仍沒有匹配的語句出口，則該數據包將視為被拒絕而被丟棄。
這里要注意，ACL不能對本路由器產生的數據包進行控制。
ACL的分類
目前有兩種主要的ACL:標准ACL和擴展ACL。
標準的ACL使用 1 ~ 99 以及1300~1999之間的數字作為表號 擴展的ACL使用 100 ~ 199以及2000~2699之間的數字作為表號
這兩種ACL的區別是，標准ACL只檢查數據包的源地址; 擴展ACL既檢查數據包的源地址，也檢查數據包的目的地址，同時還可以檢查數據包的特定協議類型、埠號等。
網路管理員可以使用標准ACL阻止來自某一網路的所有通信流量，或者允許來自某一特定網路的所有通信流量，或者拒絕某一協議簇（比如IP）的所有通信流量。
擴展ACL比標准ACL提供了更廣泛的控制范圍。例如，網路管理員如果希望做到「允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量」，那麼，他可以使用擴展ACL來達到目的，標准ACL不能控制這么精確。
在路由器配置中，標准ACL和擴展ACL的區別是由ACL的表號來體現的，上表指出了每種協議所允許的合法表號的取值范圍。
正確放置ACL
ACL通過過濾數據包並且丟棄不希望抵達目的地的數據包來控制通信流量。然而，網路能否有效地減少不必要的通信流量，這還要取決於網路管理員把ACL放置在哪個地方。
假設在圖3所示的一個運行TCP/IP協議的網路環境中，網路只想拒絕從RouterA的T0介面連接的網路到RouterD的E1介面連接的網路的訪問，即禁止從網路1到網路2的訪問。
根據減少不必要通信流量的通行准則，網管員應該盡可能地把ACL放置在靠近被拒絕的通信流量的來源處，即RouterA上。如果網管員使用標准ACL來進行網路流量限制，因為標准ACL只能檢查源IP地址，所以實際執行情況為：凡是檢查到源IP地址和網路1匹配的數據包將會被丟掉，即網路1到網路2、網路3和網路4的訪問都將被禁止。由此可見，這個ACL控制方法不能達到網管員的目的。同理，將ACL放在RouterB和RouterC上也存在同樣的問題。只有將ACL放在連接目標網路的RouterD上（E0介面），網路才能准確實現網管員的目標。由此可以得出一個結論: 標准ACL要盡量靠近目的端。
網管員如果使用擴展ACL來進行上述控制，則完全可以把ACL放在RouterA上，因為擴展ACL能控制源地址（網路1），也能控制目的地址（網路2），這樣從網路1到網路2訪問的數據包在RouterA上就被丟棄，不會傳到RouterB、RouterC和RouterD上，從而減少不必要的網路流量。因此，我們可以得出另一個結論：擴展ACL要盡量靠近源端。

㈩ 拒絕IP地址為192.168.0.99的主機的數據包通過，則ACL的配置命令

用的傻瓜路由器么？如果是，在安全設置下的ip地址過濾 把你要禁的ip地址和埠寫進去。如果是這樣用戶改下ip就又能上網了，你也可以直接把他的MAC地址給禁掉。這樣他就不能直接訪問外網了