ACL(Access Control List)

1、ACL的簡介

       ACL(Access Control List 訪問控制列表)是路由器和交換機接口的指令列表，用來控制端口進出的數據包。ACL的定義也是基於每一種被動路由協議的，且適用於全部的被動路由協議(如IP、IPX、Apple Talk等)，若是路由器接口配置成爲三種協議(IP、Apple Talk和IPX)，那麼必須定義三種ACL來分別控制這三種協議的數據包。

2、ALC的做用

       CL能夠限制網絡流量、提升網絡性能；提供網絡安全訪問的基本手段；能夠在路由器端口處決定哪一種類型的通訊流量被轉發或被阻塞，應用範圍很廣，如：路由過濾、Qos、NAT、Router-map、VTY等。

3、ACL的分類

       根據過濾層次：基於IP的ACL(IP ACL)、基於MAC的ACL(MAC ACL)，專家ACL(Expert ACL)。

       根據過濾字段：標準ACL(IP ACL、MAC ACL)、擴展ACL(IP ACL、MAC ACL、專家ACL)。

       根據命名規則：表號ACL、命名ACL。

4、ACL規範和原則

•   自上而下，優先匹配，末尾隱含拒絕。

•    一個ACL的配置是基於每種協議的每一個接口的每一個方向，路由器的一個接口上每一種協議能夠配置進方向和出方向兩個ACL。
•    儘可能考慮將擴展ACL放在靠在源的位置的上，保證被拒絕的數據包儘早拒絕，避免浪費帶寬，另外，儘可能使用標準的ACL靠近目的，因爲標準ACL只使用源地址，若是將其靠近源會阻止數據包流向其餘方向。
•    在ACL最後，隱含一條拒絕全部的命令，因此在ACL裏必定至少有一條容許的語句。
•    ACL只能過濾穿過本路由器的數據流量，不能過濾由本路由上發出的數據包。
•    路由器接口收到數據包時，應用在接口in方向的ACL起做用，數據包被容許後，路由器纔會對數據包進行路由處理，在數據包被路由選擇交付到出站接口時，應用在接口out方向的ACL起做用，對接口發送出去的數據進行檢查，相比之下，入站ACL比出站ACL更加高效。
•    3P原則：每種協議一個ACL，每一個方向一個ACL，每一個接口一個ACL。

5、標準ACL

        表號：1-9九、1300-1999

         動做：容許或者拒絕

         限制條件： 源地址

        配置模板

            R1(config)#access-list access-list-number {remark|permit|deny} source source-wildcard [log]

            R1(config)#access-list 表號 策略 源地址

            R1(config)#int f0/0

            R1(config-if)#ip access-group 表號 方向