数通004---ACL访问控制列表 Access Control List

ACL: 访问控制列表 Access Control List
1、ACL的介绍
访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。
访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。ACL技术也被称为第一代防火墙

2、ACL的作用
限制网络流量、提高网络性能。
提供对通信流量的控制手段
提供网络安全访问的基本手段
可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞‌‌

3、ACL特点
入口和出口均可以配置ACL；
一个ACL可包含多条规则，每个规则定义一个匹配条件+相应动作，相应动作：permit和deny；
逐条匹配ACL规则，如果没有不符合，则执行默认动作；

4、ACL标识
利用一个数字序号来唯一标识一个ACL
ACL分类：
基本ACL: 2000-2999 只根据源IP
高级ACL：3000-3999 根据源IP、目的IP、三层协议以及协议中信息
二层ACL：4000-4999 源MAC、目的MAC VLAN优先级、二层协议类型

5、ACL配置
[Switch]acl number acl-number
[Switch-acl-x]rule [rule-id] {deny | permit} + .... + {inbound | outbound}
[Switch-interfacex]packet filter {acl-number | name acl-name} ---在接口上应用acl规则

6、仅可能在靠近数据源接口上配置ACL

7、通配符掩码(类似子网掩码)
0：表示对应位比较
1： 表示对应为不比较

8、案例
例1 基本ACL
[Switch]acl number 2000
[Switch-acl-basic-2000]rule deny source 172.160.1.0 0.0.0.0
[Switch-H1/0/1]-basic-2000]packet filter 2000 inbound

例2 高级ACL
[Switch]acl number 3000
[Switch-acl-basic-3000]rule permit ip source 172.160.0.1 0.0.0.0 destination 192.168.0.0 0.0.1.255
[Switch-H1/0/1]packet filter 3000 inbound

例3 二层ACL
[Switch]acl number 4000
[Switch-acl-ethernetframe-4000]rule deny dest-mac addr mask | source-mac addr mask | time-range time
[Switch-H1/0/1]packet filter 4000 inbound