ACL和ip前缀列表原理及区别

一.ACL（access control list）

1.ACL的作用

1.1 ACL全称为Access Control List,即访问控制列表，顾名思义：基于访问而做的控制，该控制方式基于列表。。

1.2 ACL的作用是为了针对某些访问而做的控制。

1.3 ACL中所匹配的不是掩码而是通配符（重点）。

2.子网掩码和通配符的区别

2.1  子网掩码是为了区分不同的网段而设计的，通常和ip地址一起出现，成对使用，区分不同的网段。

2.2  通配符是为了针对ip地址中匹配的范围，简单点来说就是这32位ip地址中那个能动那个不能动由我通配符来说了算！！！

2.3  子网掩码中的1表示该位置不能动，0表示能动，在通配符中恰恰相反。

2.4  子网掩码中的1和0 必须是连续出现的，而通配符中的0和1不要求必须连续！！！

        例如：192.168.10.0/24，其中子网掩码是24位，将ip地址和子网掩码用二进制表示为：

                1100 0000.1010 1000.0000 1010.0000 0000  --ip地址

                1111  1111.1111  1111.1111   1111.0000  0000  --子网掩码

                其中的1和0都是连续出现的！

                ip地址+反掩码中的192.168.10.0/24

                1100 0000.1010 1000.0000 1010.0000 0000  --ip地址

                0000 0000.0000 0000.0000 0000.1111 1111  --通配符

              其中，0表示精确匹配，不能动，1表示不用管，可1可0。

                也可以这样子配，只匹配其中几位：

                1100 0000.1010 1000.0000 1010.0000 0000  --ip地址

                0001 0000.0000 1000.1000 1000.1011 1101  --通配符

                其中的0和1，不用连续出现，反正0对应的IP地址我就

                精确匹配，1的话我就不管！

                

3.ACL的工作原理

3.1  当配置了ACL并在接口中正确应用后，对收到或者发送的数据进行检查，然后根据ACL列表中匹配的条目进行放行或者拒绝。

3.2  其中标准ACL匹配的是路由，高级ACL匹配的是五元组（源ip地址、目的ip地址、源端口号、目的端口号、协议）。

3.3 ACL列表中的条目由三个部分组成：规则序列号（华为默认步长为5，从0开始）+动作（允许或者拒绝）+条件（IP、ICMP、IGMP）。

4.ACL的注意事项

4.1  ACL配置后必须在接口正确应用，否则可以看不到现象。

4.2  ACL的一个接口最多只能应用两个ACL列表，一个出方向一个入方向（一个接口一个方向只能配置一个ACL列表）。

4.3  ACL列表依据条目从上往下匹配（索引号从小到大）。

4.4  要是数据没有匹配任何ACL条目，就匹配默认条目（华为在接口下默认条目为放行所有，cisco默认为拒绝所有）。

二.ip前缀列表

1.ip前缀列表的作用

1.1  就是因为ACL匹配的路由不精确，才发明了这货（狗头保命）。

1.2  可以精确匹配路由，不仅可以匹配ip网段，也可以指定匹配的范围。

2.ip前缀列表工作原理

2.1  配置ip前缀列表后并在各种动态路由协议（RIP/OSPF/IS-IS/BGP等）中使用后，针对配置的入方向或者出方向生效。

2.2  检查入方向或者出方向的ip地址是否属于ip前缀列表中允许或者拒绝的ip前缀，然后做相应的允许或者拒绝的动作。

3.ip前缀列表注意事项

3.1 ip前缀列表中默认隐含拒绝所有的路由。

3.2 当ip前缀列表不存在时，默认匹配模式为permit模式。

3.3 ip前缀列表只能匹配路由，不能用于路由过滤。

三.ACL和ip前缀列表的区别

1.作用方面

ACL多用于对数据做过滤，ip前缀列表多用于精确匹配路由。

2.匹配方式

都是按照索引号从下到上匹配，但是默认隐含语句不一样，ACL默认隐含放行所有，ip前缀列表默认隐含拒绝所有。