ACL基础知识汇总

ACL（Access Control list，访问控制列表）一般用来进行流量过滤和流量分类。

1.过滤

就是对数据包流量进行过滤，包含了防火墙的功能（应用到三层网络层），商业级的防火墙一般都需要能应用到网络上面的应用层。

过滤的两个动作： permit（允许）、deny （拒绝）

ACL做过滤时都是绑定在交换机或路由器的接口（Interface）上，其中需要注意：一个接口（Interface）上最多配置2个ACL，一个接口（Interface）单方向上最多配置一个ACL。

ACL如果用于分类则无需绑定接口。

2. 分类

也就是流量分类，不进行包过滤，仅仅对流量进行分类识别，应用场景比较广泛。分类主要用于做策略，结合其他协议和技术去完成特定的功能。

3. ACL 规则

一个ACL可以配置多个规则条目，匹配置时将按照顺序匹配，一旦匹配到其中一个规则条目，就会根据这一条目的规则进行处理（丢弃或转发），将不会继续向下进行匹配。

注意：当所有的条目都不匹配时，ACL有一条隐含的条目规则，即丢弃数据包。如果应用场景不能丢弃，则需要手动配置一条permit的条目规则。

其实ACL既可以用来做过滤，也可以拿来做分类。

4. 标准ACL和扩展ACL

标准ACL和扩展ACL主要区别表现在对数据识别的颗粒度上。

使用原则：标准的ACL配置在离目的近的交换机上，扩展ACL配置在离数据源近的交换机上。

主要区别点，详见下表：

类别	配置使用原则	原理	颗粒度	执行效率	编号标识范围
标准ACL	配置在离目的近的交换机上	只检查数据包的源IP地址	粗	高	1~99, 1300~1999
扩展ACL	ACL配置在离数据源近的交换机上	既可以基于源地址检查，也可以基于目的地址检查，还可以基于特定的协议和应用程序	细	低	100~199, 2000~2699

5. ACL标识方式

ACL有两种标识方式

（1）基于编号的标识

（2）基于命名的标识

一般传统上都习惯使用基于编号标识的方式。

基于命名的可以根据ACL功能编辑，在最后表明使用的是标准的还是扩展的。当前都推荐使用命名标识方式，便于管理和配置（因为编号方式在ACL配置之后不能单独修改其中的任何子条目，如果需要修改ACL，只能删除整个ACL再重新创建；而命名方式ACL的是可以修改或删除其中的任意一个条目规则）。

6. Refexive ACL（反射ACL）

用于一些要求非常高的安全网络中，工作原理：不允许外网主动连接内网，即有外网向内网单方向发起的请求数据包会被deny掉；有内网发起到外网的请求后，外网的响应数据报文流量是被允许转发的。