对ACL的认识

ACL，中文名称是“访问控制列表”，它由一系列规则（即描述报文匹配条件的判断语句）组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL，大大家肯定听不懂，那么我打个比喻，ACL相当于一个过滤器，ACL规则就是过滤器的滤芯，安装什么样的滤芯（即根据报文特征匹配的一系列ACL规则），ACL就能过滤出什么样的报文了。ACL 主要应用于路由器、交换机和防火墙等网络设备，以及操作系统中实现的网络资源保护。ACL 主要通过定义一组规则来控制网络访问，包括源地址、目标地址、协议类型、端口号和时间等参数。ACL 有多种类型，如标准ACL和扩展ACL，其中扩展ACL可以基于更多条件来限制网络流量。通过合理配置ACL，网络管理员可以有效地保护网络资源和数据的安全性。ACL 是一种基于包过滤的访问控制技术，广泛应用于路由器和三层交换机，可以控制网络流量、提高网络性能、提供通信流量控制手段、提供网络安全访问等。高级ACL可以定义更准确、更丰富、更灵活的规则。ACL 可以应用于多种场合，如过滤邻居设备间传递的路由信息、控制交换访问、控制穿越网络设备的流量和网络访问、保护路由器等。正确放置ACL位置可以过滤掉不必要的流量，使网络更加高效。ACL 是网络设备上的重要安全防护手段，可保障非授权用户只能访问特定的网络资源。在数据中心网络中，ACL更担当起确保网络安全和实现特殊转发路径业务部署的重任。ACL 有四种类型，每种类型又分为IPv4和IPv6两种模式，适用于IPv4和IPv6两种场景。ACL 的功能非常丰富，包括安全过滤、流量隔离、访问控制、流量统计、流镜像、下发CAR限速等。随着数据中心的复杂应用越来越多，更好地使用ACL，丰富ACL的各种功能，是未来网络的必然选择。

ACL作用

读取三层、四层头部信息，根据预先定义好的规则对流量进行筛选和过滤。

三层头部信息：源、目IP

四层头部信息：TCP/UDP协议 、  源、目端口号

ACL工作原理

访问控制列表的调用方向：

入方向：流量将要进入本地路由器，将要被本地路由器处理

出方向：已经被本地路由器处理过，流量将离开本地路由器  

策略做好后，在入接口和出接口调用的区别：

入接口调用的话是对本地路由器生效，出接口调用的话，对本地路由器不生效，流量将在数据转发过程中的下一台设备生效。

访问控制列表处理原则：                                    

 1、路由条目只会被匹配一次

 2、路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配的

 3、路由条目在ACL访问控制列表隐含一个放行所有

 4、 ACL访问控制列表至少要放行一条路由                      

ACL分类

基于ACL规则定义方式的划分，可分为：

基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL。

基于ACL标识方法的划分，则可分为：

数字型ACL和命名型ACL。

通过名称代替编号来定义ACL，就像用域名代替IP地址一样，可以方便记忆，也让大家更容易识别此ACL的使用目的。

ACL的优缺点

5.1 优点

ACL有以下优点：

（1）灵活性强：ACL可以基于多种因素来过滤网络流量，例如源地址、目的地址、协议类型、端口号等，因此具有很强的灵活性。

（2）安全性高：ACL可以根据管理员的配置，控制网络中流入和流出的数据，可以有效地防止未经授权的访问，提高网络的安全性。

（3）实现简单：ACL的实现不需要额外的硬件设备，只需要在路由器、交换机、防火墙等设备中配置ACL条目即可。

5.2 缺点

但是，ACL也有以下缺点：

（1）配置复杂：由于ACL的配置涉及多种因素，因此可能需要进行复杂的配置，增加了管理员的工作量。

（2）性能影响：ACL的实现需要对网络流量进行过滤，因此可能会影响网络的性能。

（3）不可扩展：ACL的过滤能力有限，不能适应网络规模的快速扩展，需要使用其他更加复杂的安全机制来保证网络的安全性。

总结

ACL是一种常用的访问控制技术，可以在路由器、交换机、防火墙等网络设备中使用。ACL可以根据管理员的配置，控制网络中流入和流出的数据，提高网络的安全性。ACL具有灵活性强、安全性高、实现简单等优点，但是也存在配置复杂、性能影响、不可扩展等缺点。在使用ACL时，管理员需要根据网络的实际情况，综合考虑其优缺点，选择合适的ACL类型和配置方式，以确保网络的安全性和性能。

ACL的配置

要求：vlan10客户机不能访问vlan20客户机

L2-SW1

[L2-SW1]vlan bat 10 20 //创建多个vlan

[L2-SW1]int e0/0/1 //进入接口e0/0/1

[L2-SW1-Ethernet0/0/1]port link-type access //设置接口链路类型为access    

[L2-SW1-Ethernet0/0/1]port default vlan 10 //将接口e0/0/1 划分进vlan10

[L2-SW1-Ethernet0/0/1]int e0/0/2 //进入接口e0/0/2

[L2-SW1-Ethernet0/0/2]port link-type access //设置接口链路类型为access    

[L2-SW1-Ethernet0/0/2]port default vlan 20 //将接口e0/0/2 划分进vlan20

[L2-SW1-Ethernet0/0/2]int e0/0/3 //进入接口e0/0/3

[L2-SW1-Ethernet0/0/3]port link-type access//设置接口链路类型为access    

[L2-SW1-Ethernet0/0/3]port default vlan 10//将接口e0/0/3 划分进vlan10

[L2-SW1-Ethernet0/0/3]int e0/0/4 //进入接口e0/0/4

[L2-SW1-Ethernet0/0/4]port link-type access //设置接口链路类型为access    

[L2-SW1-Ethernet0/0/4]port default vlan 20  //将接口e0/0/4 划分进vlan20

[L2-SW1-Ethernet0/0/4]int g0/0/1 //进入接口g0/0/1    

[L2-SW1-GigabitEthernet0/0/1]port link-type trunk //设置接口链路类型为trunk        

[L2-SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //设置白名单，通行所有vlan

R1(AR系列路由器）

[R1]int g0/0/0 //进入接口g0/0/0

[R1-GigabitEthernet0/0/0]undo shutdown //开启物理接口

[R1-GigabitEthernet0/0/0]int g0/0/0.1 //进入子接口g0/0/0.1

[R1-GigabitEthernet0/0/0.1]dot1q termination vid 10 //封装方式为802.1q，接口g0/0/0.1划分进vlan10

[R1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24 //设置IP地址及子网掩码长度    

[R1-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播功能

[R1-GigabitEthernet0/0/0.1]int g0/0/0.2//进入子接口g0/0/0.2    

[R1-GigabitEthernet0/0/0.2]dot1q termination vid 20 //封装方式为802.1q，接口g0/0/0.2划分进vlan20

[R1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24 //设置IP地址及子网掩码长度

[R1-GigabitEthernet0/0/0.2]arp broadcast enable //开启ARP广播功能

[R1]acl 2000 //创建标准访问控制列表，列表号为2000

[R1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255 //拒绝192.168.10.0网段的路由条目（子网掩码为反掩码）     

[R1-acl-basic-2000]rule permit source any //放行其他路由条目

[R1]int g0/0/0.2 //进入子接口g0/0/0.2    

[R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000 //选择在子接口g0/0/0.2出接口上调用列表2000

检测结果：vlan10pingvlan20客户机ip地址