1、限製網絡流量、提高網絡性能。例如隊列技術,不僅限制了網絡流量,而且減少了擁塞
2、提供對通信流量的控製手段。例如可以用其控制通過某台路由器的某個網絡的流量
3、提供了網絡訪問的一種基本安全手段。例如在公司中,允許財務部的員工計算機可以訪問財務服務器而拒絕其他部門訪問財務服務器
4、在路由器接口上,決定某些流量允許或拒絕被轉發。例如,可以允許FTP的通信流量,而拒絕TELNET的通信流量。
工作原理:
ACL中規定了兩種操作,所有的應用都是圍繞這兩種操作來完成的:允許、拒絕
注意:ACL是CISCO IOS中的一段程序,對於管理員輸入的指令,有其自己的執行順序,它執行指令的順序是從上至下,一行行的執行,尋找匹配,一旦匹配則停止繼續查找,如果到末尾還未找到匹配項,則執行一段隱含代碼——丟棄DENY.所以在寫ACL時,一定要注意先後順序。
例如:要拒絕來自172.16.1.0/24的流量,把ACL寫成如下形式
允許172.16.0.0/18
拒絕172.16.1.0/24
允許192.168.1.1/24
拒絕172.16.3.0/24
那麼結果將於預期背道而馳,把表一和表二調換過來之後,再看一下有沒有問題:
拒絕172.16.1.0/24
允許172.16.0.0/18
允許192.168.1.1/24
拒絕172.16.3.0/24
發現172.16.3.0/24和剛才的情況一樣,這個表項並未起到作用,因為執行到表二就發現匹配,於是路由器將會允許,和我們的需求完全相反,那麼還需要把表項四的位置移到前面
最後變成這樣:
拒絕172.16.1.0/24
拒絕172.16.3.0/24
允許172.16.0.0/18
允許192.168.1.1/24
可以發現,在ACL的配置中的一個規律:越精確的表項越靠前,而越籠統的表項越靠後放置。
