访问控制列表

ACL（访问控制列表）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器，那些数据包可以接收，那些数据包需要拒绝。 基本原理为：ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。 ACL通过在路由器接口处控制数据包是转发还是丢弃来过滤通信流量。 路由器根据ACL中指定的条件来检测通过路由器的数据包，从而决定是转发还是丢弃数据包。 ACL有三种类型： 1、标准ACL：根据数据包的源IP地址来允许或拒绝数据包。标准ACL的访问控制列表号是1~99。 2、扩展ACL：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包。扩展ACL的访问控制列表号是100~199. 3、命名ACL允许在标准ACL和扩展ACL中使用名称代替表号。 ACL依靠规则对数据包执行检查，而这些规则通过检查数据包中的指定字段来允许或拒绝数据包。ACL通过五个元素来执行检查，这些元素位于IP头部和传输层头部中。他们分别是源IP地址、目标IP地址、协议、源端口及目标端口。 如果对接口应用了ACL，也就是说该接口应用了一组规则，那么路由器将对数据包应用该组规则进行检查 1、如果匹配了第一条规则，则不再往下检查，路由器将决定该数据包允许通过或拒绝通过。 2

ACL 访问控制列表 ACL 是为了对某些数据流进行过滤，达到实现基本网络安全的目 的的手段之一。 ACL 大概可以分为标准，扩展以及命名 ACL 标准 ACL 标准 ACL 最简单，是通过使用 IP 包中的源 IP 地址进行过滤， 表号范围 1-99 或 1300-1999； 扩展 ACL 扩展 ACL 比标准 ACL 具有更多的匹配项，功能更加强大和细化， 可以针对包括协议类型、源地址、目的地址、源端口、目的端口、TCP 连接建立等进行过滤，表号范围 100-199 或 2000-2699； 命名 ACL 以列表名称代替列表编号来定义 ACL，同样包括标准和扩展两种 列表。 在访问控制列表的学习中，要特别注意以下两个术语。 通配符掩码：一个 32 比特位的数字字符串,它规定了当一个 IP 地址与其他的 IP 地址进行比较时，该 IP 地址中哪些位应该被忽略。 通配符掩码中的“1”表示忽略 IP 地址中对应的位，而“0”则表示该 位必须匹配。两种特殊的通配符掩码是“255.255.255.255”和 “0.0.0.0” ，前者等价于关键字“any” ，而后者等价于关键字 “host” ； Inbound 和 outbound：当在接口上应用访问控制列表时，用 户要指明访问控制列表是应用于流入数据还是流出数据。 总之，ACL 的应用非常广泛，它可以实现如下的功能： 拒绝或允许流入