ACL访问控制列表

cisco

ACL分类：
标准访问控制列表(调用在接近源设备上) 1-99
只能对源进行控管
扩展访问控制列表(调用在接近目标设备上) 100-199
命名访问控制列表
时间访问控制列表

acl运行规则：
一.依据序列号对ACL进行逐条匹配 （顺序性）
二.匹配中ACL中的一条列表既结束ACL过滤动作 （匹配任意一条，就跳出ACL动作）
三.列表尾部隐式拒绝所有 （ACL默认拒绝所有流量通过）
四.不能过滤本地产生的流量 （ACL不能控管本地始发的流量.源是自己目标是其他人，源是其他，目标是我自己）

标准acl:只控制源ip地址 drop所有源的流量
Router(config)#access-list [0-99] permit/deny ip-address(source)

Huawei

ACL的组成

ACL的匹配机制

ACL的实现方式

目前设备支持的ACL，有以下两种实现方式。

•软件ACL：针对与本机交互的报文（必须上送CPU处理的报文），由软件实现来过滤报文的ACL，比如FTP、TFTP、Telnet、SNMP、HTTP、路由协议、组播协议中引用的ACL。

•硬件ACL：针对所有报文（一般是针对转发的数据报文），通过下发ACL资源到硬件来过滤报文的ACL，比如流策略、基于ACL的简化流策略、自反ACL、用户组以及为接口收到的报文添加外层Tag功能中引用的ACL。

两者主要区别在于：
•过滤的报文类型不同：软件ACL用来过滤与本机交互的报文（必须上送CPU处理的报文），硬件ACL可以用来过滤所有报文（一般是针对转发的数据报文）。

•报文过滤方式不同：软件ACL是被上层软件引用来实现报文的过滤，硬件ACL是被下发到硬件来实现报文的过滤。通过软件ACL过滤报文时，会消耗CPU资源，通过硬件ACL过滤报文时，则会占用硬件资源。通过硬件ACL过滤报文的速度更快。

•对不匹配ACL的报文的处理动作不同：当使用软件ACL时，如果报文未匹配上ACL中的规则，设备对该报文采取的动作为deny，即拒绝报文通过；当使用硬件ACL时，如果报文未匹配上ACL中的规则，设备对该报文采取的动作为permit，即允许报文通过。

ACL的分类