《学习笔记79》—— # 计算机网络 # ACL技术详解：编号ACL和命名ACL

ACL

1. 技术特性

ACL介绍：

访问控制列表(Access Control Lists，ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

分类：
主要使用的是编号ACL和命名ACL两种类别。

2. 编号ACL

编号ACL分为编号标准ACL和编号扩展ACL。

1. 编号标准ACL：

• 特点——因为标准ACL是IP ACL，所以查看的是IP报头。只匹配源IP地址；允许或者拒绝的是完整的协议栈。
• 编号——1~99，1300~1999。
• 标准ACL创建命令——access-list 1 deny/permit 192.168.1.0 0.0.0.255，表示列表编号为1，拒绝/允许源IP地址为192.168.1.0/24的包。
• 标准ACL调用命令——进入某接口配置模式下，使用ip access-group 1 in/out命令，在接口的出去/进来方向，调用编号为1的ACL。

2. 编号扩展ACL：

• 特点——可以匹配特定的源目IP地址，源目端口；允许或拒绝的可以是特定的协议，如ICMP、TCP等。
• 编号——100~199，2000~2699。
• 标准ACL创建命令——access-list 100 deny/permit 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80，表示列表编号为100，拒绝/允许源IP地址为192.168.1.0/24，目的IP地址为192.168.2.0/24，使用80端口（HTTP服务）的数据包。
• 标准ACL调用命令——进入某接口配置模式下，使用ip access-group 100 in/out命令，在接口的出去/进来方向，调用编号为100的ACL。

3. 命名ACL

命名ACL分为命名标准ACL和命名扩展ACL，划分准则和标准ACL一致。其特点为管理方便，可以任意增加、删除或者修改特定语句。

1. 命名标准ACL：其命令格式如下。
   ip access-list standard 名字
10 permit IP地址
20 deny IP地址

2. 命名扩展ACL：其命令格式如下。
   ip access-list extended 名字
10 permit tcp 源IP地址 目的IP地址 eq telnet
20 deny udp 源IP地址 目的IP地址 eq 520

4. 总结

1. 基于编号的ACL无法删除特定的条目，只能删除整个ACL；
2. ACL只过滤通过路由器的流量，不能过滤自己产生的流量；
3. ACL最后都有一条隐藏语句：deny any/deny ip any any。因此如果ACL都是拒绝语句，一般在最后会加上permit any/permit ip any any，用于放行其余流量；
4. 标准ACL要放在靠近目的IP地址的地方，扩展ACL要放在靠近源IP地址的地方；
5. ACL可以同时用在接口的出和入方向上，但在一个接口的一个方向上只能有一个访问列表；
6. ACL对流量从上到下匹配，找到匹配条目马上执行，剩下的条目不再匹配；如果没有匹配则丢弃。因此精细匹配项应该放在前面。