ACL

ACL概述

ACL访问控制列表(Access Control List)是应用在路由器接口的指令列表(即规则)，用来告诉路由器，哪些数据包可以接收，哪些数据包需要拒绝。

ACL基本原理

其基本原理为:ACL使用包过滤技术，在路由器上读取OSL七层模型的第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。

ACL工作原理

当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理。
ACL是一组规则的集合，它应用在路由器的某个接口上。对路由器接口而言，ACL有两个方向。
出：已经过路由器的处理，正离开路由器接口的数据包
入：已经过路由器接口的数据包，将被路由器处理
如图：列表应用到接口的方向与数据方向有关

如果对接口应用了ACL，也就是说该接口应用了一组规则，那么路由器将对数据包应用该规则进行顺序检查。
如图所示：
如果匹配第一条规则， 则不再往下检查，路由器将决定允许该数据包通过或拒绝通过。
如果不匹配第一条规则， 则依次往下检查，直到有任何一条规则匹配， 路由器才决定允许该数据包通过或拒绝通过。
如果没有任何条规则匹配， 则路由器根据默认的规则将丢弃该数据包。
由此

可见，数据包要么被允许，要么被拒绝。
根据以上的检查规则可知，在ACL中，各规则的放置顺序是很重要的。一旦找到了某一匹配规则，就结束比较过程，不再检查之后的其他规则。

ACL的作用

1.用来对数据包做访问控制(丢弃或者放行)
2.结合其他协议,用来匹配范围

ACL种类

1.基本acl (2000-2999) :只能匹配源ip地址。
2.高级acl (3000-3999) :可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段层
3.二层ACL (4000-4999) :根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。

ACL应用原则

1.基本ACL,尽量用在靠近目的点
2.高级ACI,尽量用在靠近源的地方(可以保护带宽和其他资源)

ACL应用规则

1.一个接口的同一个方向,只能调用一个acl 2.一个 acl 里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行 3.数据包一旦被某 rule 匹配,就不再继续向下匹配 4.用来做数据包访问控制时,默认隐含放过所有(华为设备)