ACL包过滤技术

ACL：访问控制列表，是一种包过滤技术。
ACL包过滤是一种基于规则的网络流量控制技术。它工作在网络层和传输层，通过检查流经设备的每个数据包的头部信息（如源/目标IP地址、协议类型、源/目标端口号等），决定是允许（Permit） 还是拒绝（Deny） 该数据包通过。

ACL作用：
● 安全
● 高效

ACL技术应用场景：
● 需要在网络中中控制流量的走向
● 配合 NAT 技术做地址池的设置（IP地址池）

ACL技术原理：
● ACL工作在路由器接口附近
● 对进出的数据包逐个过滤，丢弃 or 通过。
● ACL技术应用于路由器接口上，每个接口的出入双向分别过滤
● ACL数据包入站过滤流程（当数据包从某个接口进入路由器时的入站流程）
● ACL数据包出站过滤流程（当数据包离开路由器时的出站流程）

通配符掩码（子网掩码反着写） - 反掩码
● 描述一个地址范围
● 通配符掩码 + IP地址结合使用，描述一个地址范围
● 0：表示比较
● 1：不比较
● 例如：
○ 0.0.0.255： 只比较前 24 位
○ 0.0.0.0：精确匹配主机 x.x.x.x/32
○ 255.255.255.255：匹配全网所有主机

ACL的标识
● 基本（只能根据源IP检查）
● 扩展（）
● 基于二层的访问控制列表
● 用户自定义

高级访问控制列表根据保温的源IP、目的IP、IP承载的协议类型（端口号）、协议特性等三、四层信息制定

传输层封装应用的端口号

ACL包过滤配置方法
● 1、根据需要选择合适的ACL分类（基本 or 扩展）
● 2、创建正确的规则（策略）
○ 设置匹配条件(粒度越细的规则越往前放）
○ 设置合适的动作（Permit/Deny）
● 3、在路由器的接口上应用ACL，并指明过滤报文的方向
○ traffic-filter

acl number 2000 # 创建ACL 2000
rule {deny或者permit} source {x.x.x.x} {反掩码} #配置匹配源ip的规则
interface GigabitEthernet0/0/0 #选定正确的路由器和接口
traffic-filter {inbound或者outbound} acl 2000 #在入方向或者出方向上引用ACL 2000的规则

acl number 3000 #创建ACL 3000
rule {deny或者permit} {tcp或者udp} source {x.x.x.x} {反掩码} destination {x.x.x.x} {反掩码}
destination-port eq 80 #配置匹配源ip，目标ip，传输层协议和目标端口号的规则
interface GigabitEthernet0/0/0 #选定正确的路由器和接口
traffic-filter {inbound或者outbound} acl 3000 #在入方向或者出方向上引用ACL 2000的规则