ACL

随着大规模网络的发展，网络面临的威胁越来越多。而ACL是实现网络安全的基本技术之一。

ACL访问控制列表

功能：

1）限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被网络设备处理。
2）提供对通信流量的控制手段。
3）提供网络访问的基本安全手段。
4）在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

分类：
①标准ACL
要点：
一 ACL定义好以后可以在很多地方使用，接口，route map 中的match 和vty 下用access-class命令调用，用来控制telnet的访问
二 从上至下依次匹配，一旦匹配成功不再进行查询往下，末尾隐藏拒绝所有
三 每一个路由器接口的每一个方向，每一种协议只能创建一个ACL
四 靠近目标的位置调用

②扩展ACL
尽量放在源的位置，这样就不会应影响其他接口的数据，靠近源的话就会阻碍数据包流向其他端口

③命名ACL
方便增删放小号

④基于时间的ACL

⑤动态ACL

⑥自反ACL

自反ACL永远是permit的；
允许高层的session 信息的IP包过滤
利用自反ACL可以只允许出去的流量，但是阻止从外部网络产生的向内部网络的流量，可以更好的保护网络内部
自反ACL实在有流量时产生时临时自动产生的，并且当session结束时条目就删除；
自反ACL不是调用在某个接口下的，是嵌套在ACL列表里的

| ACL命令总汇

| show ip access-lists | 查看所定义的访问控制列表 |
| clear access-list counters | 将访问控制列表计数器清零 |
| access-list | 定义ACL |
| ip access-group | 在接口下调用ACL |
| access-class | 在VTY下调用ACL |
| ip access-list | 定义命名的ACL |
| time-range time | 定义时间范畴 |
| username 888 password 888 | 建立本地数据库 |
| auto ommand | 定义自动执行命令 |