计算机网络知识点————ACL (访问控制列表)_acl知识点

一、访问控制列表的工作原理

ACL(访问控制表）通过包过滤技术，在路由器上读取OSI七层模型的第三层和第三层包头中的信息。根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。

第三层传输层 —— 数据段——源端口、目的端口
—————————————————————— 通信四元组
第四层网络层 —— 数据包——源IP、目的IP

ACl是一组规则的集合，它应用在路由器的某个接口上。对路由器接口而言，访问控制列表有两个方向。

出：已经过路由器的处理，正离开路由器的数据包。
入：已到达路由器接口的数据包。将被路由器处理。
如果对路由器的某接口应用了ACL，那么路由器对数据包应用该组规则进行顺序匹配，使用匹配即停止的，不匹配则使用默认规则的方式来过滤数据包

1.访问控制列表在接口应用的方向

出： 已经过路由器的处理，正离开路由器接口的数据包。
入：已到达路由器接口的数据包，即将被被处理。

数据是有去又回的，进去的时候是进口，回来的时候就是出口，出去的时候是出口，回来的时候就是进口。

列表应用到接口的方向与数据方向有关

---

二、访问控制列表的处理过程

根据我们预先定义好的规则对包进行过滤

1.ACL工作原理

当数据包从接口经过时，由于接口启用acl，此时路由器会对报文进行检查，然后做出相应的处理

2.ACL两种作用

1.用来对数据包做访问控制
2.结合其他协议，用来匹配范围

3.ACL种类

1.基本acl（2000-2999）：只能匹配源IP地址
2.高级acl（3000-3999）：可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段。
3.二层acl（4000-4999）：根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则（仅作了解）

4.ACL的应用原则

基本acl，尽量用在靠近目的点
高级acl，尽量用在靠近源的地方（用来保护带宽和其他资源）

（1）ACL的应用规则
1.一个接口的同一个方向，只能调用一个acl
2.一个acl里面可以有多个rule规则，按照规则ID从小到大排序，从上往下依次执行
3.数据包一旦被某个rule匹配，就不再继续向下匹配
4.用来做数据包访问控制时，默认隐含放过所有（华为设备）