ACL访问控制列表_三层acl编号范围是多少

ACL是什么

ACL（Access Control Lists）又称访问控制列表，它是由一系列的条件规则组成的，这些规则可以是报文的源地址，目的地址，端口号，mac地址等组成，同时可以把这些个规则使用应用在网络设备的各种软硬接口的规则列表。

ACL具有很多的功能，例如限制网络流量，隔离数据，限制网络访问，已达到控制网络环境，访问安全，以及专用线路。

ACL从概念上来讲是不太复杂的，复杂的是要在不同的环境使用不同的ACL，同时进行一个合理的配置。

ACL功能（过滤，分类）

• 限制网络流量，以提高网络环境和网络性能

• 限制网络数据流向，以达到隔离

• 限制是否允许访问本网络和是否访问某个出口以及数据

• 限制那种数据可以转发那种数据进行一个丢弃

ACL分类（编号，可匹配）

编号（标识）范围分类

基本acl 编号范围2000--2999

高级acl 编号范围3000--3999

二层acl 编号范围4000--4999

可匹配条件分类

基本acl：仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。

高级acl：既可使用IPv4报文的源IP地址，也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。

二层acl：根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则，对报文进行相应的分析处理。

基于ACL标识方法的划分

划分如下：

• 数字型ACL：传统的ACL标识方法。创建ACL时，指定一个唯一的数字标识该ACL。

• 命名型ACL：通过名称代替编号来标识ACL。

用户在创建ACL时可以为其指定编号，不同的编号对应不同类型的ACL。同时，为了便于记忆和识别，用户还可以创建命名型ACL，即在创建ACL时为其设置名称。命名型ACL，也可以是“名称数字”的形式，即在定义命名型ACL时，同时指定ACL编号。如果不指定编号，系统则会自动为其分配一个数字型ACL的编号。

ACL应用

动作：

包括permit deny 两种动作，表示允许/拒绝

指令顺序

在路由器上会分为出方向和入方向

入方向inbound

ACL应用在设备接口入方向 当接口收到数据包时，先根据应用在接口上的ACL条件进行匹配，如果允许则根据路由表进行转发，如果拒绝则直接丢弃。先匹配后路由。

出方向outbound

ACL应用在设备接口出方向 报文先经过路由表路由后转至出接口，根据接口上应用的出方向ACL条件进行匹配，是允许permit还是拒绝deny，如果是允许，就根据路由表转发数据，如果是拒绝就直接将数据包丢弃了。先路由后匹配。

大家可以把路由器想象成为一个高铁站，而ACL规则就相当于高铁站的规则，例如规则是不允许带烟花爆竹那么在那个入口不允许带那个允许带，像要坐的高铁在几号站台什么时候到哪个站台，这个就像是路由器允许哪个数据包进入，危险从哪里可以进并且让他到哪里那个接口出或者又不允许出。先制定规则在决定到哪个地方执行怎么执行，也就是先路由后匹配执行这是出口，反之入口是先匹配在进行路由。

基础acl

拒绝pc1IP地址：192.168.10.1访问172.16.10.0

acl 2000
rule deny source 192.168.10.1 0
int gi0/0/1
acl traffic-filter outbound acl 2000

dis acl 2000 调试查询acl

高级acl

拒绝源地址192.168.1.2访问12.0.0.2

acl 3005
rule deny tcp source 192.168.10.2 0 destination 12.0.0.2 0 destination-port eq 23

拒绝任何人上qq 直接在不允许udp为8000的报文通过

acl 3101
rule deny udp destination-port eq 8000

注意：

1. 如果ACL没有被调用，那么这个ACL就不会起到任何作用

2. ACL属于三层技术，只能布置于三层设备上面，ACL不适用于不同网段的互访控制

3. 相同网段的vlan通信不建议使用acl，可以使用端口隔离

4. 如果ACL配置错误一般要删掉整条ACL配置

5. ACL可以和很多的命令进行组合以达到不同的效果

6. 一个接口只能应用一个ACL规则

7. 当所有的ACL没有与数据包匹配，会丢弃的，一般也叫默认拒绝

8. acl的指定一定是会又方向的如（in out）

9. 一个acl可以有多条规则，会从上往下依次进行执行的

10. 在数据包进行acl匹配的时候一但被匹配就不会再向下继续匹配