ACL访问控制列表

目录：

• ACL技术概述
• ACL的基本概念及其工作原理

背景：

随着网络的飞速发展，网络安全和网络服务质量QoS (Quality of Service)问题日益突出。访问控制列表 (ACL, Access Control List)是与其紧密相关的一个技术。

ACL可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

本章将介绍ACL的基本原理和基本作用，ACL的不同种类及特点，ACL的基本组成和匹配顺序，通配符的使用方法和ACL的相关配置。

ACL技术概述

技术背景：需要一个工具，实现流量过滤

ACL——是一个匹配工具，能够对报文进行匹配和区分

              由一系列permit或derry语句组成的、有序规则的列表（每条语句就是该ACL的一条规则，每条语句中的permi或derry就是与这条规则相对应的处理动作）

ACL的应用（根据具体匹配的数据来看）

ACL的组成及规则编号

注： 默认省缺步长为5，可以自己修改（如修改为7，第一条如果为7，则之后的自动为14、21、28）

匹配规则（config模式）：Rule ID规则编号先匹配编号小的

注意：ACL只负责挑数据（permit不一定指流量通过，在流量过滤里“允许”是指“允许流量通过”）

通配符（匹配IP）

—— 1、与子网掩码不同：“0”表示匹配，“1”表示随机分配

2、通配符中可以不连续

如：表示在192.10.10.3这个网段中的所有奇数

则表示为：         192.10.10.1            0.0.0.254

其中通配符 0.0.0.254 表示 192.10.10.？？？？？？？1

ACL分类方法：

注：常见ACL的区别

	编号范围	规则定义
基本ACL	2000~2999	仅使用报文的源I地址、分片信息和生效时间殷信息来定义规则。
高级ACL	3000~3999	可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。
用户自定义ACL	5000~5999	使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。

ACL的匹配机制

——逐条匹配（最小编号开始），一旦匹配成功一条故意之后则停止匹配后续的规则

ACL应用场景

注：内网 ——>（inbound）——> 查找路由——>（outbound）——> 外网