网络ACL访问控制列表

一、ACL概述

• 访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。可以过滤网络中的流量，是控制访问的一种网络技术手段。
• ACL访问控制不仅对三层信息（也就是网络层信息）进行过滤，还可以对四层信息进行过滤，要读取IP地址里的数据包和端口号，再根据预告定义好的规则，对数据包做一个过滤。

1、acl的作用

• ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。
• ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。
• ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。
• ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。
  例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

二、ACL工作原理

1、原理

• ACL访问控制列表，就是在链路连通的基础上，看是被允许的还是被拒绝的，进行一个有效的访问控制。
• 访问控制列表在接口应用的方向
  出：已经过路由器的处理，正离开路由器接口的数据包
  入：已经到达路由器接口的数据包，将被路由器处理
  

2、处理过程

• 拒绝和允许都不匹配才会允许读下一条
• 访问控制列表的处理过程：如果匹配第一条规则，则不再往下检查，路由器将决定该数据包允许通过或拒绝通过。如果不匹配第一条规则，则依次往下检查直到有任何一条规则匹配。如果最后没有任何一条规则匹配，则路由器根据默认的规则将丢弃该数据包。

三、ACL分类

• 目前有三种主要的ACL:标准ACL、扩展ACL及命名ACL。

1、标准访问控制列表

• 基于源IP地址过滤数据包
  标准访问控制列表的访问控制列表号是2000-2999
  （基于源IP，也就是说只要源匹配则通过或者拒绝）

2、扩展访问控制列表

• 基于源IP地址、目的IP地址、指定协议、端口来过滤数据包
  扩展访问控制列表的访问控制列表号是3000-3999
  （不仅要源IP还要看你访问谁，也就是目的IP，不仅访问源目标以及目标里边的服务，服务对应的有协议和端口）
  区分标准访问控制和扩展访问控制要根据列表号来区分。

3、命名访问控制列表

• 命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。
  （也就是说命名既有标准的命名又有扩展的命名）

四、ensp中ACL的配置试验

以下实验帮助理解ACL

实验拓扑图

实验需求

1、全网互通
2、通过标准acl设置，vlan10不能ping通vlan20
3、通过扩展acl设置，R1不能访问ftp服务器

实验分析

1、全网互通：SW1中e0-e4配置access，g1口配置trunk口，用于跑vlan10和vlan20的数据
然后R1用单臂路由，R1,R2配置路由表
2、标准acl放在靠近目标处设置，首先在R1上面设置规则，然后进入g0/0/0.20子接口（数据由g0/0/0口进入路由器，通过单臂路由的子接口出来）禁止。
3、扩展acl放在靠近源处设置，首先在R2上面设置规则，然后进入g0/0/0接口（数据由R2的g0/0/0口进入路由器，g0/0/2口出来）禁止。

实验步骤（以下命令为简写）

SW1配置：
v b 10 20    ##声明vlan
int e0/0/1  
p l a
p d v 10
int e0/0/2
p l a
p d v