ACL

一、产生背景

　　企业网络中的设备进行通信时，需要保障数据传输的安全可靠和网络的性能稳定。

　　访问控制列表ACL (Access Control List)可以定义一系列不同的规则，设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

二、ACL概念（根据不同的规则，对数据包进行分类，对不同类型报文进行处理，实现对网络行为的控制，限制网络流量等。）

　　1.ACL(Access Control List),是一张管理员手动添加的用于数据包访问控制的列表,路由器通过逐项读取列表中的条目来判断当前数据包是放行还是丢弃。是一个路由器数据处理数据包的行为规范手册。

　　2.匹配和不匹配

　　　　针对某个网段的数据流量进行操作，匹配上了就执行，没有匹配上，就不执行控制列表内的内容
　　　　ACL的对数据执行的动作 ：允许/拒绝---》 针对流量

　　3.ACL的作用

　　　　控制数据的流量转发

　　　　匹配感兴趣的流量，被其他的协议所调用  （VPN  动态路由   NAT）

三、ACL分类

　　

 

　　

四、ACL实现方式及配置

　　第一步：确定部署位置

　　　　1.可以部署在被控数据包的必经之路上

　　　　2.但部署在靠近源的位置且尽量集中化管理

　　　　　路由器无法控制来源于自身的数据包

　　第二步：匹配对应流量

　　　　1.考虑对流量的 允许 / 拒绝

　　　　2.考虑 匹配到的网段/主机的IP地址
　　　　　0，表示 ACL在检查数据流量的时候， 0对应的位要检查
　　　　    1，对应的位则不关心

　　　　

 　  第三步：决定调用方向（ACL的掉用 一定在接口上调用的）

　　　　1.in/ out 针对与流量进出路由器的行为，观察流量流经接口的方式

　　　　2.inbound 方向上调用，先调用ACL，在进行路由转发(对于未匹配上的流量，或者拒绝的流量，则不进行路由转发)
　　　　3.outbound 方向上调用，先路由转发，在调用ACL (如果路由器根据路由表找到数据的逃出接口，则在逃出接口上进行ACL的匹配)

　　　　

　　　　　

　　第四步：查看及测试

　　　　1.查看ACL的条目

　　　　2.查看ACL部署在哪一个接口上，

　　　　3.查看部署的方向 in out

　　　　　　

　　　　

　　　　4.删除全部ACL

　　　　　

 五、ACL匹配顺序

　　　1.按序匹配 从上到下依次匹配，匹配立即停止(命中即生效)

　　　2.黑白名单/白名单模式，只有匹配上的流量才能进行 permit/deny的操作，

　　　3.隐式拒绝 一个ACL启用，在不做任何配置的情况下，默认不允许任何数据通过

　　　　ACL最后的规则要设置一个 允许所有的流量通过　　　　　

六、高级ACL（能够针对数据包的源、目的IP地址、协议类型、源目的端口号等元素进行匹配）

　　1.ACL的配置

　　　 

　　　

      　

　 　 

　    　

 　　　　 

 　　2.ACL配置操作符的含义

　  　

　　3.基于时间的ACL

 

　　 

　　

 

 ##注释：通配符掩码(wildcard-mask)路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围。它不像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。

　　　　  通配符的掩码告诉路由器为了判断出匹配，他需要检查IP地址中的多少

　　　　  通配符掩码中, 0表示要检查的位,1表示不需要检查的位。