ACL原理

ACL是一种用于控制网络设备访问权限的技术，可以通过配置ACL来限制特定用户、应用程序或网络设备对网络资源的访问。

1、ACL（Access Control List）

2、ACL是一种包过滤技术。

3、ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号、[5层数据]。

​ 基于三层和四层过滤。

4、ACL在路由器上配置，也可以在防火墙上配置（一般称为策略）

5、ACL主要分为2大类：

​ 1）标准ACL

​ 2）扩展ACL

6、标准ACL：

​ 表号：1-99

​ 特点：只能基于源IP对包进行过滤

​ 注释：反子网掩码：将正子网掩码0和1倒置

​ 反子网掩码的作用：用来匹配，与0对应的需要严格匹配，与1对应的忽略。

是根据反掩码来匹配的：

反掩码是255.255.255.255前面ip地址写什么都一样。

只有一个人的时候可以简写：

不允许所有人通过也可以简写：

7、扩展ACL：

​ 表号：100-199

​ 特点 ：可以基于源IP、目标IP、端口号、协议等对包进行过滤

8、ACL原理

1）ACL表必须应用到接口的进或出方向才生效！

2）一个接口的一个方向只能应用一张表！

3）进还是出方向应用？取决于流量控制总方向

4）ACL表是严格自上而下检查每一条，所以要注意书写顺序

5）每一条是由条件和动作组成，当流量没有满足某条件，则继续检查下一条。

6）标准ACL尽量写在靠近目标的地方

7、小原理：

​ 1）做流量控制，首先要先判断ACL写的位置（那个路由器？那个接口的那个方向？）

​ 2）再考虑怎么写ACL

​ 3）如何写？

​ 首先要判断最终要允许所有还是拒绝所有
​ 然后写的时候要注意：将详细严格的控制写再前面

8、一般情况下，标准或扩展ACL一旦写好，无法修改某一条，也无法删除某一条，也无法修改顺序，也无法在中间插入新的条目，只能一直在最后添加新的条目。

​ 如想修改或插入或删除，只能删除整张表，重新写！

9、命名ACL：

作用：可以对标准或扩展ACL进行自定义命名

有点：自定义命名更容易辨认，也便于记忆@

​ 可以任意修改某一条，或删除某一条，也可以往中间插入某一条

路由器设置ACL的几个步骤：

1. 确定ACL应用的位置：
   ACL可以应用于路由器的入口、出口或转发路径上，根据具体情况确定ACL应该应用于哪个位置。
2. 确定ACL的匹配条件：
   根据实际需求，确定ACL应该匹配哪些数据包。匹配条件可以包括源IP地址、目标IP地址、协议类型、源端口、目标端口等。
3. 创建ACL规则：
   根据匹配条件，创建ACL规则。ACL规则包括允许或拒绝数据包通过路由器的动作，以及匹配数据包的条件。
4. 将ACL应用到接口上：
   将ACL规则应用到路由器的接口上，以限制数据包的流向。ACL可以应用于单个接口或多个接口上，具体应用方式取决于实际需求。
5. 验证ACL的效果：
   在ACL配置完成后，需要对ACL进行验证，确保ACL能够限制特定的数据流，同时不影响正常的网络流量。