ACL应用

一、定义

访问控制列表(Access Control List，ACL) 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。

信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。

配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。ACL既可以在路由器上配置，也可以在具有ACL功能的业务软件上进行配置。

ACL是物联网中保障系统安全性的重要技术，在设备硬件层安全基础上，通过对在软件层面对设备间通信进行访问控制，使用可编程方法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。

通俗地讲就是建立访问规则，设定访问权限。

二、应用

①应用在接口的acl，可以过滤数据包（原目地址，协议，端口号）

②应用在路由协议上，可以匹配相应的路由条目

③NAT、IPSEC VPN、QOS可以匹配感兴趣的数据流（匹配个性化设置的数据流）

三、原理

当数据流经过接口时，由于接口启动了ACL，此时路由器会对报文进行检查，设定访问权限（拒绝，接受）

四、种类

数据包五元组：源ip地址、目的ip地址、协议类型、源端口号、目的端口号

基础ACL——编号为2000-2999，依据数据包中的源ip地址匹配数据

高级ACL——编号为3000-3999，依据数据包中的源目ip、源目端口号、协议号匹配数据

二层ACL——编号4000-4999，可以依据数据包中的mac、vlan id、802.1q信息匹配数据

自定义ACL——编号5000-5999

五、实验

客户端1不能访问服务器1但能访问服务器2。

首先按图给客户端与服务端配置好ip地址和网关。

检验：用客户端1ping服务端1，不通，ping服务端2，通。实验成功。

总结ACL的应用原则和匹配规则
①一个接口的一个方向只能与一个acl表匹配，比如inbound和outbound分别匹配一个acl

入口：先匹配后路由（更节省路由器资源），出口：先路由后匹配；

②一个acl可以创建多个rule，从大到小排序，从上到下依次匹配；

③一旦被rule匹配了，就不再向下匹配了

④一般基础acl配置在流量出口，高级acl配置在流量的入口，为了节省路由器的资源