ACL（访问控制列表）详解

访问控制列表(ACL)是应用在 路由器 接口的指令列表(即规则)。这些指令列表用来告诉路由器，那些数据包可以接受，那些数据包需要拒绝。

ACL使用包过滤技术，在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址，目标地址，源端口，目标端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。

ACl是一组规则的集合，它应用在路由器的某个接口上。对路由器接口而言，访问控制列表有两个方向。

出：已经通过路由器的处理，正离开路由器的数据包。

入：已到达路由器接口的数据包。将被路由器处理。

————————————————

1、Access Contral List

2、ACL是一种包过滤技术。

3、ACL基于 IP包头的IP地址 、 四层TCP／UDP头部的端口号; 基于三层和四层过滤

4、ACL在路由器上配置，也可以在防火墙上配置（一般称为策略）

5、ACL主要分为2大类：

标准 ACL
表号是 1-99 特点；

只能基于 源IP地址 对包进行过滤

扩展 ACL
表号：100-199

特点：可以基于源IP、目标IP、端口号、协议对包进行过滤

————————————————

ACL原理

1）ACL表必须应用到接口的进或出方向生效

2） 一个接口的一个方向 只能应用一张表

3）进还是出方向应用？取决于流量控制总方向

4）ACL表是严格自上而下检查每一条，所以要注意书写顺序

5）每一条是有条件和动作组成，当流量不满足某条件，则继续检查；当流量完全 满足某条件，不再往后检查 直接执行动作。

6）标准ACL尽量写在靠近目标的地方

————————————————

将ACL应用到接口：

———————

注释：反子网掩码：将正子网掩码0和1倒置

反子网掩码：用来匹配，与0对应的严格匹配，与1对应的忽略匹配。

———————

例如：access-list 1 deny 10111 0255255255

解释：该条目用来拒绝所有源IP为10开头的

access-list 1 deny 10111 0000

简写：access-list 1 deny host 10111

解释：该条目用来拒绝所有源IP为10111的主机

access-list 1 deny 0000 255255255255

简写：access-list 1 deny any

解释：该条目用来拒绝所有人

————————————————

————————————————

1）做流量控制，首先要先判断ACL写的位置（那个路由器？那个接口的哪个方向？）

2）再考虑怎么写ACL

首先要判断最终要 允许所有还是拒绝所有

将 详细的严格的控制 写在最前面

3）一般情况下，标准或扩展ACL一旦编写，无法修改某一条，也无法删除某一条，也无法往中间插入新的条目，只能一直在最后添加新的条目

如想修改插入或删除，只能删除整张表，重新写！

conf t

no access-list 表号
查看ACL表：

show ip access-list [表ID]

————————————————

扩展ACL：

表号：100-199

特点：可以基于源IP、目标IP、端口号、协议对包进行过滤

命令：

acc 100 permint/deny 协议 源IP或源网段 反子网掩码 目标IP 或源网段 反子网掩码 [eq端口号]

注释：协议：tcp/udp/icmp/ip

案例：

acc 100 permit tcp host 10111 host 20113 eq 80

acc 100 deny ip host 10111 20111 000255

————————————————

命名ACL：

作用：可以对标准或扩展ACL进行自定义命名

优点：

自定义命名更容易辨认，也便于记忆！

可以任意修改某一条，或删除某一条，也可以往中间插入某一条

conf t

ip access-list standard/extended 自定义表名

开始从deny或permit编写ACL条目

exit

删除某一条：

ip access-list standard/extended 自定义表名

no 条目ID

exit

插入某一条：

IP access-list standard/extended 自定义表名

条目ID 动作 条件

————————————————

以上是以思科命令为例。

你问的什么是acl还是acl含义？
如果是前者，可以回答下你，acl就是一个访问控制列表，必须配置在某个设备接口才能生效，比如路由器。功能主要是阻止部分或允许部分用户的访问。acl分很多类，基本acl，高级acl，自定义等。每种通过控制源，或者目的网段，或者mac地址进行访问控制（要了解还是要具体看看书什么的）。acl有点像一个筛子了，比如你不希望某个网段用户ftp到服务器上，不希望你的用户群上qq，acl都能实现。acl结合别的功能的也很多，比如nat的转换。
如果你问什么是acl含义。。。有点摸不着头脑了

1、根据问题1，需在在switch3上做acl，其PC3不能访问服务器19216833，命令如下：

switch3(config)#access-list 100 deny host 19216844 host 19216833  //拒绝网络19216844访问服务器19216833。 

switch3(config)#access-list 100 peimit ip any any   //允许其他主机访问。

switch3(config) #interface f0/5

switch3(config-if) #ip access-group 100 in     //在路由器f0/5接口入方向下调用此ACL 100。

2、根据问题2，PC0、PC1、PC2之间访问关系，如下命令：

switch3(config) #access-list 101 deny host 19216812 host 20213514733  //PC0禁止访问外网

switch3(config) #access-list 101 peimit host 19216812 host 19216822   //PC0允许访问PC2

switch3(config) #access-list 101 peimit host 19216813 host 19216822   //PC1允许访问PC2

switch3(config) #access-list 102 deny 19216822 00000 19216810 000255  //PC2禁止访问19216810网段

switch3(config) #interface f0/2

switch3(config-if) #ip access-group 101 in

switch3(config) #interface f0/3

switch3(config-if) #ip access-group 102 in   //分别在switch3上调用acl 101和102。

3、根据问题3，acl分为标准acl和扩展acl，其标准acl访问控制列表号为1-99，扩展acl访问控制列表号为100-199，每条acl下又能创建多条规则，但一个接口下只能调用一条acl。

4、根据问题4，其19216810 000255匹配的是19216810/24，表示的是19216810~1921681255地址范围，命令为：

switch3(config) #access-list 103 peimit ip 19216800 00255255 any   //允许19216800/16地址访问任何网络。

扩展资料：

ACL可以应用于多种场合，其中最为常见的应用情形如下：

1、过滤邻居设备间传递的路由信息。

2、控制交换访问，以此阻止非法访问设备的行为，如对 Console接口、 Telnet或SSH访问实施控制。

3、控制穿越网络设备的流量和网络访问。

4、通过限制对路由器上某些服务的访问来保护路由器，如HTP、SNMP和NIP等。

5、为DDR和 IPSeC 定义感兴趣流。

6、能够以多种方式在IOS中实现QoS(服务质量)特性。

7、在其他安全技术中的扩展应用，如TCP拦截和IOS防火墙。

如果你在服务器接口的in方向加策略，那就错了，因为服务器在反馈服务请求的时候，它是不会用FTP的端口回复的，而是随机端口；正确的做法是在连接服务器端口的out方向加策略允许其他网段访问该服务器的FTP端口，华为的命令不熟，大体意思是这样的，你自己翻翻资料吧
in方向是不行的，因为in方向是指从服务器发出的数据包，这样，它的端口号不是ftp的20、21，而是一个随机的端口号，如果华为的交换机只有in方向的访问控制列表的话，你可以把列表放在交换机上联接口的in方向上。

支持。acl支持websocket服务器的，支持Linux/Windows/Solaris/FreeBsd/websocket服务器的。ACL是AccessControlList的简称，中文名称叫“访问控制列表”，它由一系列规则即描述报文匹配条件的判断语句组成。

比如acl 3333
rule 10 permit ip source any eq 80dest host 主机地址 eq 80
rule 20 deny ip source any dest any
interface 服务器vlan
packt filet 3333outbount
大概这样，具体格式可能记叉了

1、使用system-view命令进入[]模式。

2、创建一个vlan，[Quidway]vlan 2。

3、添加端口[Quidway-vlan2]port
Ethernet 0/0/13 to 0/0/15。

4、然后使用display current查看端口是否属于这个vlan。

5、配置vlan IP，[Quidway]interface Vlanif 2。

6、配置vlanif ip地址[Quidway]interface Vlanif 2，[Quidway-Vlanif2]ip address 10101001 2552552550。

7、完成之后电脑接入到vlan2的接口上并设置好IP地址，然后ping 10101001是否正常。

---