ACL(Access Control List)

1、ACL的简介

       ACL(Access Control List 访问控制列表)是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL的定义也是基于每一种被动路由协议的，且适用于全部的被动路由协议(如IP、IPX、Apple Talk等)，若是路由器接口配置成为三种协议(IP、Apple Talk和IPX)，那么必须定义三种ACL来分别控制这三种协议的数据包。

2、ALC的做用

       CL能够限制网络流量、提升网络性能；提供网络安全访问的基本手段；能够在路由器端口处决定哪一种类型的通讯流量被转发或被阻塞，应用范围很广，如：路由过滤、Qos、NAT、Router-map、VTY等。

3、ACL的分类

       根据过滤层次：基于IP的ACL(IP ACL)、基于MAC的ACL(MAC ACL)，专家ACL(Expert ACL)。

       根据过滤字段：标准ACL(IP ACL、MAC ACL)、扩展ACL(IP ACL、MAC ACL、专家ACL)。

       根据命名规则：表号ACL、命名ACL。

4、ACL规范和原则

•   自上而下，优先匹配，末尾隐含拒绝。

•    一个ACL的配置是基于每种协议的每一个接口的每一个方向，路由器的一个接口上每一种协议能够配置进方向和出方向两个ACL。
•    尽可能考虑将扩展ACL放在靠在源的位置的上，保证被拒绝的数据包尽早拒绝，避免浪费带宽，另外，尽可能使用标准的ACL靠近目的，因为标准ACL只使用源地址，若是将其靠近源会阻止数据包流向其余方向。
•    在ACL最后，隐含一条拒绝全部的命令，因此在ACL里必定至少有一条容许的语句。
•    ACL只能过滤穿过本路由器的数据流量，不能过滤由本路由上发出的数据包。
•    路由器接口收到数据包时，应用在接口in方向的ACL起做用，数据包被容许后，路由器才会对数据包进行路由处理，在数据包被路由选择交付到出站接口时，应用在接口out方向的ACL起做用，对接口发送出去的数据进行检查，相比之下，入站ACL比出站ACL更加高效。
•    3P原则：每种协议一个ACL，每一个方向一个ACL，每一个接口一个ACL。

5、标准ACL

        表号：1-9九、1300-1999

         动做：容许或者拒绝

         限制条件： 源地址

        配置模板

            R1(config)#access-list access-list-number {remark|permit|deny} source source-wildcard [log]

            R1(config)#access-list 表号 策略 源地址

            R1(config)#int f0/0

            R1(config-if)#ip access-group 表号 方向