ACL

概述

访问控制列表ACL (Access Control List)是由一系列permit或deny语句组成的、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类;
ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能,针对ACL所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调用ACL来进行报文过滤) , ACL只是一个匹配用的工具;
ACL除了能够对报文进行匹配,还能够用于匹配路由;
ACL是一个使用非常广泛的基础性工具,能够被各种应用或命令所调用。

ACL的应用

• 匹配IP流量（可基于源、目的IP地址、协议类型、端口号等元素）
• 在Traffic-filter中被调用
• 在NAT中被调用
• 在路由器由策划中被调用
• 在IPSec VPN中被调用
• 在防火墙的策略部署中被调用
• 在QoS中被调用
• 其他…

作用

（1）、ACL可限制网络流量、提高网络性能； 例如： ACL根据数据包协议，指定数据包的优先级。
（2）、对通信流量提供控制手段；
（3）、网络安全，如ACL允许主机A访问销售部，而拒绝主机B访问；
（4）、ACL决定路由器端口处哪种类型的通信流量被转发或阻塞。

如何标识ACL

• 利用数字标识ACL

• 利用名称标识ACL

        列表的种类                                 数字标识范围
        Basic（基本） ACL                    2000~2999                  
        Advanced（高级） ACL             3000~3999
        二层ACL                                     4000~4999
        自定义ACL                                  5000~5999
  

ACL的分类

- 基本访问控制列表
只能够对IP头中的源IP地址进行配置
- 高级访问控制列表
能够针对数据包的源、目的IP地址、协议类型、源目的端口号等元素进行匹配

ACL的配置

配置思路:

 ①在路由器上配置两个端口,设置好ip地址

 ②配置好主机的ip/子网掩码/网关

 ③在路由器上添加一条访问控制权限,基本acl 2000

 ④把这条acl限制规则应用到g0/0/1的端口上(可以称作监听端口)