acl过滤数据包

㈠ 在ACL中,每个数据包判断能否转发的过程是什么

如果一个端口设置了ACL，那么这个端口的默认状态就是禁止通过，这一点很重要端口收到一个数版据包，首先判断权ACL的第一条规则，有符合和不符合两种情况如果符合，则按该条规则中的规定予以允许通过，或者禁止通过，不管下面还有多少条规则，一律无视。如果不符合，则判定第二条规则，第二条的判定和第一条同样，符合，则执行规则，不符合，继续判定第三条`直到所有的规则都判定完毕，条件仍不符合，那么执行该端口的默认状态，就是禁止通过`

㈡ ACL只能过滤穿过路由器的数据流量，不能过滤由本路由器上发出的数据包...

你好。
前半句：其他地方来的途经路由器的数据包，路由器会根据ACL过滤。
后半句：路由内器自己会产容生很多数据包（比如icmp数据包，链路状态通告，路由表通告等等），自己发出的数据包，就直接按目标地址发送出去了。

㈢ 如何禁止某个IP的数据包通过交换机某个端口或所有端口

如果是要禁止和某IP的所有连接或者是禁止和某IP的某个端口的连接，那么只能用内ACL来实现
ACL其实很简单，具体要看容你的交换机品牌和型号了，有的交换机有WEB控制页面，直接图形化配置ACL,你只需要指明源IP地址，目标IP地址，所应用的服务端口就可以了。

㈣ 企业级交换机acl数据包过滤靠协议吗

不是，是靠 ip地址 端口号来过滤的。

㈤ 基本acl能检查数据包的哪些字段

ACL介绍
访问控制列表（Access Control List,ACL） 是路由器接口的指令列表,用来控制端口进出的数据包.ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等.
ACL的定义也是基于每一种协议的.如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况,那么,用户必须定义三种ACL来分别控制这三种协议的数据包.
ACL的作用
ACL可以限制网络流量、提高网络性能.例如,ACL可以根据数据包的协议,指定数据包的优先级.
ACL提供对通信流量的控制手段.例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量.
ACL是提供网络安全访问的基本手段.如图1所示,ACL允许主机A访问人力资源网络,而拒绝主机B访问.
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞.例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量.
ACL的执行过程
一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断.如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查.
ACL具体的执行流程见图2.
在图2中,数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较.如果匹配（假设为允许发送）,则不管是第一条还是最后一条语句,数据都会立即发送到目的接口.如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃.
这里要注意,ACL不能对本路由器产生的数据包进行控制.
ACL的分类
目前有两种主要的ACL:标准ACL和扩展ACL.
标准的ACL使用 1 99 以及1300~1999之间的数字作为表号 扩展的ACL使用 100 199以及2000~2699之间的数字作为表号
这两种ACL的区别是,标准ACL只检查数据包的源地址; 扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等.
网络管理员可以使用标准ACL阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇（比如IP）的所有通信流量.
扩展ACL比标准ACL提供了更广泛的控制范围.例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确.
在路由器配置中,标准ACL和扩展ACL的区别是由ACL的表号来体现的,上表指出了每种协议所允许的合法表号的取值范围.

㈥ 路由器是怎样应用ACL对数据包进行检查的

例如，数据包到达路由接口，路由器就会处理数据包，处理方式有路由策略，ACL，路由表。。。在ACL中会自上而下的一条一条的进行匹配，当匹配上时就会做相应的处理，deny或者permit，

㈦ 我在华为路由器上用ACL封了除了ftp.http.telnet.4410.3389之外的端口，怎么还是有TCP数据包杀过来

如果你的E0是内网。请改成inbound方向

㈧ 三层交换机上连防火墙的作用就是为了用acl做个简单过滤吗如果是的话,那数据流向是怎么走的啊

建议你研究一下路由器的工作原理，特别是路由表

我见到说一下吧，三层设备（包括内三层交换机和路由器）容收到一个数据包究竟要如何转发是通过匹配自身的路由表，找到下一跳地址的~
假如你有两个vlan 一个是10.10.10.0/24 另一个是 192.168.0.0/24
当然你的三层交换机会拥有到这两个网段的路由（直连路由），那当然知道要如何转发，但假如收到的数据包目的地址是2.2.2.2 ，明显你的三层交换机没有到则个地址的路由吧，但一般这个三层交换机都会配置一条默认路由的，也就是在自身路由便查不到往哪里发的情况下就网某个地址发~
所以你的三层交换机会把默认路由指向你的防火墙（你的网络出口，假设你在防火墙开了nat），到了防火墙自然就可以进行过滤了

补充回答：
当然是送到10.10.10.0/24这个vlan，理所当然地也不会通过防火墙~

㈨ ACL的阐述

ACL介绍
访问控制列表（Access Control List，ACL） 是路由器接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。
ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。
ACL的作用
ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。
ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。如图1所示，ACL允许主机A访问人力资源网络，而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。
ACL的执行过程
一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。
ACL具体的执行流程见图2。
在图2中，数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。
这里要注意，ACL不能对本路由器产生的数据包进行控制。
ACL的分类
目前有两种主要的ACL:标准ACL和扩展ACL。
标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号 扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号
这两种ACL的区别是，标准ACL只检查数据包的源地址; 扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。
网络管理员可以使用标准ACL阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。
扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。
在路由器配置中，标准ACL和扩展ACL的区别是由ACL的表号来体现的，上表指出了每种协议所允许的合法表号的取值范围。
正确放置ACL
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。
假设在图3所示的一个运行TCP/IP协议的网络环境中，网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问，即禁止从网络1到网络2的访问。
根据减少不必要通信流量的通行准则，网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处，即RouterA上。如果网管员使用标准ACL来进行网络流量限制，因为标准ACL只能检查源IP地址，所以实际执行情况为：凡是检查到源IP地址和网络1匹配的数据包将会被丢掉，即网络1到网络2、网络3和网络4的访问都将被禁止。由此可见，这个ACL控制方法不能达到网管员的目的。同理，将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上（E0接口），网络才能准确实现网管员的目标。由此可以得出一个结论: 标准ACL要尽量靠近目的端。
网管员如果使用扩展ACL来进行上述控制，则完全可以把ACL放在RouterA上，因为扩展ACL能控制源地址（网络1），也能控制目的地址（网络2），这样从网络1到网络2访问的数据包在RouterA上就被丢弃，不会传到RouterB、RouterC和RouterD上，从而减少不必要的网络流量。因此，我们可以得出另一个结论：扩展ACL要尽量靠近源端。

㈩ 拒绝IP地址为192.168.0.99的主机的数据包通过，则ACL的配置命令

用的傻瓜路由器么？如果是，在安全设置下的ip地址过滤 把你要禁的ip地址和端口写进去。如果是这样用户改下ip就又能上网了，你也可以直接把他的MAC地址给禁掉。这样他就不能直接访问外网了