一、 什么是ACL?
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
![9731f80419cba25f04c98935d72fe8fc.png](https://i-blog.csdnimg.cn/blog_migrate/2c14e0962496174e6b5263cad17e9b58.jpeg)
这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
注:此文章素材来源于网络,仅代表作者观点,版权归原作者所有!经编者收集整理后,与大家一起分享学习!转载请保留此字段,感谢!
二、 ACL有什么样用处?
1)ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
2)ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
3)ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
4)ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
例如:某部门要求只能使用 WWW 这个功能,就可以通过ACL实现; 又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。
![e477374eebf81563e2d327449c6b651b.png](https://i-blog.csdnimg.cn/blog_migrate/5c3e99d4192b134a5bfce1a8f04c2074.jpeg)
三、 ACL的3p规则(不要想歪,捂脸)
记住此原则,便记住了在路由器上应用 ACL 的一般规则。可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL:
1)每种协议一个 ACL 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。
2)每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。
3)每个接口一个 ACL 一