【原】ACL的基本工作原理

1.基本概念

访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。

2.基本功能

（1）限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被网络设备处理。

（2）提供对通信流量的控制手段。

（3）提供网络访问的基本安全手段。

（4）在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

3.基本作用

（1）提供网络访问的基本安全手段；

（2）可用于QoS，控制数据流量；

QoS（服务质量）指一个网络能够利用各种基础技术，为指定的网络通信提供更好的服务能力, 是网络的一种安全机制， 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。

（3）控制通信量；

（4）使用ACL阻止某指定网络访问另一指定网络；

4.基本原理

实现访问控制列表的核心技术是包过滤，通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP）；

从下图中可以看出，通过访问控制列表可以实现公司总部与办事处之间的联通；但是未授权的用户是无法访问到公司总部的。从而提高了网络访问的安全性。

5.工作过程

（1）访问控制列表的工作过程

访问数据到达访问控制列表接口的数据包逐条对比信息，若访问控制列表中的信息与输入的信息相符，则根据规则允许或拒绝信息的通过；若访问控制列表中的信息与输入的信息不符，则拒绝信息的通过。

（2）访问控制列表的入口规则

当数据包进入到接口时，首先判断接口上是否存在访问控制列表，若接口不存在ACL，则直接转发数据；若接口上存在ACL，则比较ACL中的列表信息，若与ACL列表相符则根据规则处理数据信息，若与ACL列表不相符则根据规则丢弃数据信息。

（3）访问控制列表的出口规则

当数据经过路由器的接口向外转发时，首先查看路由表的信息，是否有到达目的段的路由信息或默认路由信息，若无则丢弃数据，若有则检测接口上的ACL列表信息。首先判断接口上是否存在访问控制列表，若接口不存在ACL，则直接转发数据；若接口上存在ACL，则比较ACL中的列表信息，若与ACL列表相符则根据规则处理数据信息，若与ACL列表不相符则根据规则丢弃数据信息。

6.ACL列表的基本命令

第一步创建访问控制列表；

Router(config)#access-list  access-list-number  {permit|deny}  {test  conditions}

（1）Access-list是ACL列表的关键词；

（2）access-list-number是ACL列表的序号；1-99为标准访问控制列表的编号；100-199为扩展访问控制列表的编号；

（3）permit允许数据包通过应用了访问控制列表的接口；

（4）deny 拒绝数据包通过；

第二步应用到接口上

Router(config)#interface接口编号 //进入相应的接口

Router（config-if）#ip access-group  access-list-number {in|out}  //应用到接口的出口或入口方向；

规则：通配符：

（1）any等价于0.0.0.0 255.255.255.255

access-list 1 permit 0.0.0.0 255.255.255.255 含义：允许所有信息通过该接口。

access-list 1 permit any 含义：允许所有信息通过该接口。

（2）host + IP地址 允许某一个固定的主机通过该接口

access-list 1 permit 172.16.30.1 0.0.0.0 含义：允许IP地址为172.16.30.1的主机通过该接口；

access-list 1 permit host 172.16.30.1 含义：允许IP地址为172.16.30.1的主机通过该接口；

7.访问控制列表的分类

目前有三种主要的ACL：标准ACL、扩展ACL及命名ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议 ACL 、IPv6 ACL等。

标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号。

标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇(比如IP)的所有通信流量。

扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到"允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量"，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。

8.ACL的工作原则

记住 3P 原则，您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL:

每种协议一个 ACL:要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。

每个方向一个 ACL :一个ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个 ACL。

每个接口一个 ACL :一个ACL 只能控制一个接口(例如快速以太网0/0)上的流量。