ACL

ACL：访问控制列表
ACL是一种包过滤技术
ACL基于三层的IP包头的IP地址、四层的（TCP/UDP）端口号、五层的数据进行过滤，主要是基于三层和四层过滤，五层数据过滤性能影响很大
ACL一般在路由器上配置，也可以在防火墙上配置（策略）

ACL分类

1、标准ACL
2、扩展ACL

标准ACL

表号：1-99
特点：只能基于源IP对包进行过滤
格式：
access-list 表号 deny/permit 源IP或IP段 反子网掩码
子网掩码：将正子网掩码的0和1倒置（其实就是把0和255交换，如255.255.255.0，贩子网掩码0.0.0.255）
贩子网掩码作用：用来匹配条件，与0对应的就要严格匹配，与1对应的忽略
例如：
access-list 1 deny 10.1.1.3 0.0.255.255表示拒绝所有源IP以10.1开头的
拒绝一个主机时刻简化为access-list 1 deny host 10.1.1.3
拒绝所有人简化access-list 1 deny any

扩展ACL

表号：100-199
特点：可以针对源IP、目标IP、端口号、协议等对包进行过滤
格式：access-list 表号 deny/permit 协议 源IP或源网段 反子网掩码 目标ip 反子网掩码[eq 端口号]
注释：
协议：TCP/UDP/IP/ICMP,三四层的协议，没有必要写arp因为arp是内网协议出不了网关没有意义
1.如果写上了端口号，协议只能写TCP/UDP，具体写哪一个由端口号对应四层服务协议，比如80端口对应的HTTP协议四层是TCP提供服务则这里协议只能写TCP
2.如果不写端口号则TCP/UDP/IP/ICMP任一协议都可以，比如写了deny TCP则表示禁止访问基于TCP的应用层服务
例如：
access-list 100 deny TCP 10.1.1.3 0.0.0.255 20.1.1.1 0.0.0.255 80：禁止10.1.1.0/24网段地址访问20.1.1.0/24网段地址的80端口提供的服务
access-list deny ip host 10.1.1.3 host 20.1.1.2：禁止10.1.1.3主机访问20.1.1.2主机（所有服务，因为所有协议都要走ip）
access-list 100 deny tcp host 10.1.1.1 host 20.1.1.5：禁止10.1.1.1主机访问20.1.1.5主机提供的所有基于tcp提供的应用层服务
access-list 100 permit ip any any：允许所有人访问所有服务，放行所有

ACL原理

1.ACL表必须应用在出货进接口方向才生效
2.一个接口的一个方向只能由一张ACL表
3.进还是出方向应用？取决于流量控制总方向（流向的途径上选择在何处配置ACL表）
4.标准ACL是严格自上而下检查每一条，要注意书写顺序
5.每一条是由条件和动作组成，当流量完全满足条件执行，当流量没有满足条件，则继续查找下一条
6.标准ACL尽量写在靠近目标的地方，可以尽量减少对其它信息的影响
7.默认最后有一条，当所有条件都不满足时，拒绝
8一般书写规则：
1）.做流量控制，首先要判断ACL写的位置（哪个路由器哪个接口哪个方向）
2）.再考虑怎么写ACL
3）.如何写：
先判断最终是拒绝所有还是允许所有;
然后写的时候把严格控制的写在前面
9.一般情况下标准或扩展ACL写好后，无法修改某一条、也无法删除某一条，也无法修改顺序，也无法往中间插入新的条目，只能一直在最后添加新的条目，并且默认最后有一条拒绝
以路由器身份给某个回包，从路由器哪个口出就以哪个接口名义（IP地址）回包