|
1、入站访问控制列表:将到来的分组路由到出站接口之前对其进行处理。因为如果根据过滤条件分组被丢弃,则无需查找路由选择表;如果分组被允许通过,则对其做路由选择方面的处理。
2、出站访问列表:到来的分组首先被路由到出站接口,并在将其传输出去之前根据出站访问列表对其进行处理。
3、任何访问列表都必须至少包含一条permit语句,否则将禁止任何数据流通过。
4、同一个访问列表被用于多个接口,然而,在每个接口的每个方向上,针对每种协议的访问列表只能有一个。
5、在每个接口的每个方向上,针对每种协议的访问列表只能有一个。同一个接口上可以有多个访问列表,但必须是针对不同协议的。
6、将具体的条件放在一般性条件的前面;将常发生的条件放在不常发生的条件前面。
7、新添的语句总是被放在访问列表的末尾,但位于隐式deny语句的前面。
8、使用编号的访问列表时,不能有选择性的删除其中的语句;但使用名称访问列表时可以。
9、除非显式地在访问列表末尾添加一条permit any语句,否则默认情况下,访问列表将禁止所有不与任何访问列表条件匹配的数据流。
10、所有访问列表都必须至少有一条permit语句,否则所有数据流都将被禁止通过。
11、创建访问列表后再将其应用于接口,如果应用于接口的访问列表未定义或不存在,该接口将允许所有数据流通过。
12、访问列表只过滤经由当前路由器的数据流,而不能过滤当前路由器发送的数据流。
13、应将扩展访问列表放在离禁止通过的数据流源尽可能近的地方。
14、标准访问列表不能指定目标地址,应将其放在离目的地尽可能近的地方
| 
设为主页
收藏本站
相关文章: