计算机网络-ACL访问控制列表

上一篇介绍NAT时候就看到了ACL这个东西了，这个是什么意思？有什么作用呢？

一、ACL访问控制列表

访问控制列表 (ACL, Access Control List)是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具，能够对报文进行匹配和区分。简单来讲就是一个过滤列表，一般配合其它技术实现功能。ACL可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

比如下面这种情况：

我们实际上使用不同VLAN划分不同网段以区分不同功能。因此对于内网不同网段的策略可以使用ACL访问控制列表进行控制。网络流量是有方向和一来一回数据流的，因此一般可以在发送或者接收时调用ACL。

二、ACL的组成

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。

ACL组成

2.1 ACL编号

在网络设备上配置ACL时，每个ACL列表都需要分配一个编号，称为ACL编号，用来标识ACL。不同分类的ACL编号范围不同。这个编号与下面将要介绍的ACL分类相关。

2.2 ACL规则

前面提到了，一个ACL通常由若干条“permit/deny”语句组成，每条语句就是该ACL的一条规则。ACL规则包含规则编号，规则处理动作，匹配项，如果没有指定规则编号则有缺省规则编号和步长。

2.1 规则编号（Rule ID）：

一个ACL中的每一条规则都有一个相应的编号。

2.2 步长（Step）:

步长是系统自动为ACL规则分配编号时，每个相邻规则编号之间的差值，缺省值为5。步长的作用是为了方便后续在旧规则之间，插入新的规则。比如缺省规则编号：0 ，5 ，10 ，15 ....

规则编号

2.3 动作

每条规则中的permit或deny，就是与这条规则相对应的处理动作。permit指“允许”，deny指“拒绝”，但是ACL一般是结合其他技术使用，不同的场景，处理动作的含义也有所不同。