ACL访问控制列表

一、访问控制列表（ACL）简介
1.1、ACL 作用

1. 在流量转发的接口限制流量的进或出
2. 为其他策略定义感兴趣流量。

1.2、ACL 匹配规则
当数据包流量经过路由器接口进或出时，ACL可以匹配流量产生动作 --- 允许 拒绝，匹配规则：自上而下逐一匹配，上条匹配按上条执行，不再查看下一条

cisco系在表格末尾隐含拒绝所有；   华为系在表格末尾隐含允许所有；

1.3、ACL 分类
基本访问控制列表： 它们只将分组的源 IP 地址用作测试条件，所有的决策都是根据源 IP 地址作出的。这意味着基本访问控制列表要么允许要么拒绝整个协议族，它们不区分 IP 数据流类型(如 Web Telnet UDP 等)

高级访问控制列表： 它们能够检查 IP 分组第3层和第4层报头中的众多其他字段。它们能够检查源 IP 地址、目标 IP 地址、网络层报头的协议字段、传输层报头中的端口号。高级访问列表能够做出更细致的数据流控制决策

命名访问控制列表： 命名访问控制列表要么是标准的，要么是高级的，并非一种新类型

1.3、使用 ACL
创建访问控制列表后，除非将其应用于接口，否则它不能发挥任何作用。要将访问控制列表用作分组过滤器，需要将其应用于要进行数据流过滤的路由器接口，而且还必须指定要使用访问控制列表来过滤哪个方向的数据流

入站访问控制列表： 将访问控制列表应用于入站分组时，将根据访问控制列表对这些分组进行处理，然后再将其路由到出站接口。遭到拒绝的分组不会被路由，因为在调用路由选择进程前，它们已被丢弃

出站访问控制列表： 将访问控制列表应用于出站分组时，分组将首先被路由到出站接口，然后再将分组排队前根据访问控制列表对其进行处理-

1.4、通配符掩码
在访问控制列表中，可使用通配符来指定特定主机、特定网络或网络的一部分。通配符和子网掩码比较类似，同样是使用块大小来识别主机范围的（块大小可以参考 CIDR），只是通配符使用 “0” 的部分必须匹配，非 “0” 的部分使用块大小来识别包含主机的数量

我们常用的就是控制某一台主机或者某一个网段的访问

指定一台主机： 192.168.1.1 0.0.0.0
指定一个 IP 网段： 192.168.1.1 0.0.0.255

二、示例

扩展ACL  --- 由于扩展ACL精确匹配流量源、目地址，故调用时尽量靠近源头，避免资源浪费

Telnet 远程登录

PC1  Tel    r1 .

不能  ping   r1

ping    r2

不能  Tel    r2

PC2   ping    r1 . 

不能Tel   r1

Tel     r2

不能ping  r2