什么是ACL访问控制列表？它们的匹配机制是什么？

      什么是ACL?

       ACL，是Access Control List的简写，中文名称叫做“访问控制列表”。访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。

     不知道你们有没有发现，在网络互通性越来越强的情况下，一个局域网内的每一处地方都是可以相互访问的，那这样就将近变成了一种信息全透明的情况。假使一个公司内部网络，分为几个部门，财务部的数据是非常机密的，如果全公司的员工都可以访问财务部，那就可能会造成公司资料泄露。这时就出现了ACL技术，它可以对流量进行过滤，从而实现访问控制的目标。

     既然要进行流量过滤，说白了就是“阻止”或“允许”数据报进入，所以ACL的基本构成其实就是deny与permit语句。语句一般可以翻译为“某某地址或网段允许/阻止某某地址或网段进行访问”

 

    1. 规则编号与步长

     每一条规则都有其对应的编号（就类似于我们在学校的校规：要尊重老师、不准打架、不准、不准早恋......都会一点点的列举出来）而步长就是每一条规则之间的差值，默认步长为5（自己可以进行调整）

 

   ps：如果你需要以下或更多网工资料，可以找我要~

2. 通配符

    通配符类似于子网掩码，与IP 地址一样是32位长，它的作用就在于指示你所规定规则中限制或允许的IP地址的哪一位一定需要匹配，哪些无所谓。0表示需要匹配，1表示不关心（就是不care你能不能匹配上）

可以理解为大学期末考试老师划重点，那通配符中的0就是一定会考一定要记的重点，1就是可看可不看的内容 

 

上图表示的就是前面24位需要严格匹配，后面八位无所谓匹配不匹配。其实限制的就是一个192.168.1.0/24的网段

    3. ACL的分类与标识

    一般把ACL分为基本ACL与扩展ACL两类，基本ACL主要只能对源IP地址进行限制，而扩展ACL就可以对报文中的各种源IP 、目的IP 、协议类型等更加深层的内容进行限制。

我们可以根据编号来确定是何种类型的ACL，基本ACL的编号范围是2000~2999，扩展ACL的编号范围是3000~3999

 

它们的匹配机制是什么？

ACL设备一般都会有多条规则，而ACL的匹配机制就是一条一条的规则的去进行比对，一旦命中规则就会停止比对，当即给出结论允许或者不允许这个数据报进入或出去。（一个学校要招收飞行员，有非常多严苛的要求，其中有一条就是近视100度以上不允许进入，如果近视100度以上就会立刻取消进入资格，都不需要看后面的规则了）

 

匹配顺序是按照规则编号从小到大进行报文的比对。你学会了吗？