ACL的介绍以及分类

1、为什么要使用ACL

• 随着网络的增长，要求对IP流量进行管理
• 通过在路由器中设置包过滤来管理IP流量
  
  2、什么是ACL
• ACL是一个授权和拒绝条件的序列表
• 基于协议
• 不能过滤本地路由器的流量
  3、ACL的用途
  
  4、ACL的分类
  -1、按出入栈不同分类：
• （1）入栈ACL：在网络入口处对数据包进行检查，如果被deny，则不需要路由，如果包被permits然后进行路由

• （2）出栈ACL：进入路由器的包被路由后进行outbound接口，然后进行Outbound访问列表匹配
  

• 2、其他分类

• 标准ACL（standard）：检查数据包的源地址

• 扩展ACL（extebded）:检查数据包的源地址、目的地址、特定的协议、端口号码以及其它参数，使用更灵活
  （1）标准ACL
  
  
  （2）扩展ACL
  
  
  5、ACL的逻辑测试过程
  

• 如果数据包与ACL中某条语句匹配，则列表中其它语句会被忽略

• 如果数据包与某个命令不匹配，则继续检查ACL下一个命令语句

• 如果到达ACL的最后一条命令扔不匹配，数据包会被丢弃

• 注意事项：

• 使用ACL要小心，至少ACL中有一条允许语句

• ACL命令的放置顺序是很重要的

• 当检测到某个命令条件满足的时候，就不会再检测后面的指令条件

• 应该先创建ACL，再将其绑定到入口或者是出口

• ACL只能过滤通过路由器的数据流量，不能过滤路由器本省产生的数据流量
  6、ACL举例

• 要求只允许主机192.168.1.1和网络172.16.0.0的数据包通过

• 第一条命令：条件：IP地址192.168.1.1，操作：允许。

• 第二条命令：条件：网络地址172.16.0.0，操作：允许。