ACL相关知识

1**）知识点列举**

1.ACL的概念

2.ACL的组成

3.ACL的作用与应用

4.ACL的分类

5.ACL的匹配规则

6.注意点

7.相关命令

2**）学习流程**

1.ACL**的概念**

访问控制列表（Access Control List）,由一条或多条规则组成的集合,是有序的规则列表

2.ACL**的组成**

由标识+规则组成，每条规则由permit/deny语句组成

标识：使用数字或者名称来标识ACL

规则：描述匹配条件的判断语句

{

规则编号：用于标识ACL规则，所有规则均按照规则编号从小到大进行排序

华为默认步长为5，思科默认步长10

动作：包括permit/deny两种动作，表示设备所匹配的数据包接收或者丢弃

匹配项：ACL定义了及其丰富的匹配项，包括生效时间段，IP协议（ICMP，TCP，UDP），源/目的

地址 以及相应的端口号（21，23，80等）

【通配符：由比特流0和1组成，0表示严格匹配，1表示不匹配，可用于匹配单双路由】

}

3.ACL**的作用与应用**

作用：①提供安全访问 ②防止网络攻击 ③提高网络带宽利用率

应用：①在traffic-filter中被调用 ②在防火墙策略部署中被调用 ③在路由策略中被调用 ④在nat中被调用

4.ACL**的分类**

①基于编号范围

华为：

接口ACL（1000-1999）：根据报文的入接口来定义规则

基本ACL（2000-2999）：使用报文的源IP地址来定义规则

高级ACL（3000-3999）：使用报文的源IP、目的IP、IP协议类型、ICMP类型、TCP（UDP）源/目的

端口 号等等来定义规则

二层ACL（4000-4999）：基于MAC地址来定义规则

自定义ACL（5000-5999）

用户ACL（6000-6999）

思科：

标准ACL（1-99）：使用报文的源IP地址来定义规则

扩展ACL（100-199）：使用报文的源IP、目的IP、IP协议类型、ICMP类型、TCP（UDP）源/目的端口

号等等来定义规则

命名ACL：基于标准ACL和扩展ACL的一种可以定制的ACL

②基于标识

数字型ACL：传统的标识方法，使用不同的数字标识不同类型的ACL

名称型ACL：使用字符标识ACL，就像用域名代替IP地址一样，更加方便记忆

5.ACL**的匹配规则**

①ACL的匹配顺序是自上而下的（步长越小越优先）

②一旦满足匹配条件 ---> 跳出查询

③基本（标准）ACL放在离目的更近的地方，高级（扩展）ACL放在离源更近的地方

④访问控制列表最后有一条隐藏规则

华为：rule xxxx permit 0.0.0.0 255.255.255.255 //允许所有

(虚拟链路vty和IPSec策略中调用ACL最后一条拒绝所有)

思科：rule xxxx deny 0.0.0.0 255.255.255.255 //拒绝所有

⑤**ACL只过滤经过本地的数据包，不能过滤本地产生或者目的是本地的数据包**

6.**注意点**

①ACL只有在接口调用后才能生效，接口既可以是二层接口也可以是三层接口

②思科的所有设备都支持SVI接口调用ACL，华为只有少部分设备支持vlanif接口调用ACL，华为模拟器不支 持vlanif接口调用ACL

③每个设备接口各个方向的ACL只能调用一个，同一个方向上只能调用一个ACL

④先匹配入站方向的ACL，匹配后进行转发，转发出去的时候再匹配出站方向的ACL

⑤拒绝多：前几条写允许规则，最后再拒绝所有;允许多：前几条写拒绝规则，最后再允许所有