ACL（access control list）訪問控制列表（理論篇）

ACL（access control list）：訪問控制列表（多用于路由、三層交換中建立包過濾防火墻）

一、ACL分類

1、標(biāo)準(zhǔn)型訪問控制列表
（1）只能基于源IP 地址過濾
（2）該種列表的訪問控制列表號(hào)為1~99
2、擴(kuò)展訪問控制列表
（1）基于源IP、目的IP、指定協(xié)議、端口、標(biāo)志過濾數(shù)據(jù)
（2）該種列表的訪問控制列表號(hào)為100~199
3、命名訪問控制列表——包含標(biāo)準(zhǔn)訪問和擴(kuò)展訪問
（1）該種列表允許在標(biāo)準(zhǔn)和擴(kuò)展列表中使用“名稱代替表號(hào)”

二、過濾參數(shù)

1、訪問控制列表基于三層（基于IP） 四層（基于端口、協(xié)議）進(jìn)行過濾
2、應(yīng)用防火墻，基于七層進(jìn)行過濾
3、常用端口以及協(xié)議如下圖

4、訪問控制列表在接口應(yīng)用的方向
出：已經(jīng)過路由器的處理，正離開路由器接口的數(shù)據(jù)包
入：已達(dá)到路由器接口的數(shù)據(jù)包，將被路由器處理

三、ACL作用

1、ACL根據(jù)人為定義好的規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過濾

四、白名單 黑名單

匹配流程圖：

匹配規(guī)則：自上而下所有，逐條匹配，默認(rèn)隱含拒絕所有

五、配置

1、標(biāo)準(zhǔn)訪問控制列表配置
（1）創(chuàng)建ACL

access - list  access-list-number  {permit | deny}  source 【source-wildcard】

access-list 1 deny any ：拒絕所有
access-list-number ：列表號(hào)（1—99）
source[source-wildcard]：源IP+子網(wǎng)掩碼反碼
關(guān)鍵字：host / any
（2）刪除ACL

no  access - list  access-list-number

（3）將ACL應(yīng)用于端口

ip  access-group  access-list-number  { in | out }

（4）取消ACL應(yīng)用在端口

no  ip  access-group  access-list-number  { in | out }

TIP : ACL的訪問控制列表in口大部分在離限制方近的一端

2、擴(kuò)展訪問控制列表
（1）創(chuàng)建ACL

access - list  access-list-number  {permit | deny}  protocol  { source   source-wildcard  destination  destination-wildcard }  【 operator  operan】

protocol：協(xié)議名稱（TCP、UDP、 ICMP........）
source-wildcard destination destination-wildcard：源IP、掩碼反碼和目標(biāo)IP、掩碼反碼
operator operan：服務(wù)的端口或者名字（80/www服務(wù)）
（2）刪除ACL

no access - list  access-list-numbe

（3）將ACL應(yīng)用于端口

ip  access-group  access-list-number  { in | out }

（4）在接口上取消ACL的應(yīng)用

no  ip  access-group  access-list-number  { in | out }

TIP：ip包含所有協(xié)議
any any：源IP 、目標(biāo)IP
3、命名訪問控制列表
（1）創(chuàng)建ACL

ip  access-list  { standard | extended }  access-list-name

access-list-name:列表名稱（自己取）；
（2）配置標(biāo)準(zhǔn)命名ACL

[  Sequence-Number  ]  { permit | deny }  source  [  source-wildcard]

Sequence-Number :列表中的序列號(hào)；決定ACL語句在列表當(dāng)中的位置。
（3）配置擴(kuò)展命名ACL

[  Sequence-Number  ]  { permit | deny }    protocol  source  {  source-wildcard  destination  destination-wildcard }  【 operator  operan 】  

（4）刪除組中單一ACL語句
——no Sequence-Number
——no ACL語句
（5）刪除整組ACL

no  ip  access-list  { standard | extended }  access-list-name

（6）將ACL應(yīng)用于接口

ip  access-group  access-list-name { in | out }

(7) 取消接口上ACL的應(yīng)用

ip  access-group  access-list-name { in | out 

（8）在ACL中添加特定序列號(hào)的語句

 ip  access-list  { standard | extended }  access-list-name
 Sequence-Number +執(zhí)行的操作命令

拓展：
1、NAT地址轉(zhuǎn)換：一個(gè)私網(wǎng)轉(zhuǎn)換為一個(gè)公網(wǎng)地址
2、特殊形式
PAT：多個(gè)私網(wǎng)轉(zhuǎn)換為一個(gè)公網(wǎng)地址 （端口多路復(fù)用）
作用：緩解了可用IP地址資源的枯竭，提高了IP地址的利用率。