一.ACL概述

1.介绍

ACL 访问控制列表，可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

2.概述

ACL是由一系列permit或deny语句组成的、有序规则的列表。

ACL是一个匹配工具，能够对报文进行匹配和区分。

3.应用

①应用在接口的ACL-----过滤数据包（五元组：源IP地址、目的IP地址、协议号、源端口、目的端口 ）

②应用在路由协议-------匹配相应的路由条目

③NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流 

二.ACL基本概念及其工作原理

1.ACL工作原理

当数据包从接口经过时，由于接口启用了acl， 此时路由器会对报文进行检查，然后做出相应的处理。

2.ACL种类

3.ACL组成

4.ACL的应用原则

基本ACL，尽量用在靠近目的点

高级ACL，尽量在靠近源的地方（可以保护带宽和其它资源）

5.通配符

通配符是一个32比特长度的数值，用于指示IP地址中，哪些比特位需要严格匹配，哪些比特位无需匹配。

通配符通常采用类似网络掩码的点分十进制形式表示，但是含义却与网络掩码完全不同。

区别：

子网掩码 1111   0主机  配置ip地址的时候用  连续1 来表示网络位

反掩码   0000   1主机  路由协议（ospf协议）  连续0来表示网络位

通配符掩码   可以0 1穿插  0不可变   1可变

三.配置

1.利用ip地址+通配符匹配流量

[R1]acl 2000   ###创建ACL

[R1-ACL-BASIC-2000]rule permit source 192.168.1.0 0.0.0.255
           中文:    规则  允许   源头 （要通过的IP地址和通配符，注：如果要允许所有通过IP为：0.0.0.0）
###允许192.168.1.0网段通过（将permit换成deny则是拒绝）

2.入站（Inbound）及出站（Outbound）方向