ACL理論

通路清單最初的目的是許可或拒絕通路進入、離開，經過的資料，現在成為幀和資料包的強大工具

ACL用來控制端口進出的資料包，ACL适用于所有的被路由協定如IP、IPX、AppleTalk等

安全過濾：保護資料流量的完整性

流量過濾：阻止不必要的資料包通過有限帶寬的鍊路

隐藏拒絕所有，拒絕沒授權的資料起到保護内網作用

ACL:是一個有序的規則的集合，通過比對的資訊進行分類

ACL順序很重要，注意寫入順序

ACL分為很多類型：擴充、标準、IPX、XNS等

前期的标準ACL、擴充ACL，大型網絡建議使用命名ACL

二層通路控制清單:基于vlan、MAC

标準ACL:直接比較源位址通配符，通配符相同的則按配置順序；（參考建議：通配符為奇數或0）

擴充ACL:先比較源位址通配符，相同時再比較目的位址通配符，仍相同時則比較端口号的範圍，範圍小的排在前面，如果端口号範圍也相同則按配置順序

對于操作輸入錯誤試圖删除一行，小心删除，不熟悉的建議粘貼到記事本上進行修改删除

功能層面的控制

1、控制層面:針對路由協定的控制（路由過濾、路由屬性操作）

2、資料平面:針對于資料封包的控制（資料包過濾，資料封包字段

輸入ACL需要注釋一下，以便下次忘記

access-list 1 remark permit_R1_Telnet注明作用，由于時間問題，條目衆多無法區分

access-list 2 permit 172.16.1.1 0.0.0.0=access-list 2 permit 172.16.1.1意思相同

access-list 3 permit 0.0.0.0 255.255.255.255=access-list 3 permit any意思相同

深度優先規則是把指定範圍最小的語句排在最前面。通過比較通配符來實作

172.16.0.0  0.0.0.255通配符【比對路由0表示嚴格比對 1表示任意比對】

通路控制會拒絕比對的資料和路由，但是不會拒絕沒有比對的路由【deny any any 對其他路由不生效】

access-list 100 permit ip 172.16.1.1 0.0.0.0 10.1.1.1 0.0.0.0

access-list 100 permit ip host 172.16.1.1 host 10.1.1.1意思相同

access-list 101 permit ip0. 0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

access-list 101 permit ip any any意思相同

由于ACL在調用時，會多次檢查讀取資料包中的字段，有時會消耗大量的CPU

标準通路控制清單：一般應用在out出站接口，建議配置在離目标端最近的路由上

擴充通路控制清單：一般應用在in入站接口，配置在離源端最近的路由上

ip accounting access-violations在接口上應用，作用計費監視

ip access-list 1 permit 192.168.0.0 0.0.0.0   同時比對/25-32

時間通路控制清單：時間通路控制清單隻能和擴充的通路控制清單結合使用

自反通路控制清單：自反通路清單隻能和命名的擴充通路清單結合使用

自反ACL:基于會話的過濾器，自動駐留的、暫時的

自反ACL:隻可以内網通路外網，外網無法通路内網

自反ACL隻可以在全局模式下使用，隻能配置在命名ACL中

例1： 

172.16.1.1/24

……

172.16.3.1/24

access-list 1 permit 172.16.1.1 0.0.3.0 0.0.3.255

0000 0000.0000 00001

0000 0001.0000 00001

0000 0010.0000 00001

0000 0011.0000 00001

---------------------------------------

0000 0011.0000 0000

access-list 99 permit 172.16.0.1   0.0.1.0=access-list 99 permit 172.16.1.1 0.0.1.0

例2: 

192.168.4.8/32

192.168.7.8/32

access-list 1 permit 192.168.4.8 0.0.3.0

例3: 172.16.0.0/24  第三個位為奇數

例如：

172.16.1.0/24

172.16.3.0/24

172.16.xxxx xxx1.0    0.0.254.0

access-list 1 permit 172.16.1.0 0.0.254

172.16.0.0/24  第三個位為偶數

172.16.xxxx xxx0.0    0.0.254.0

access-list 1 permit 172.16.2.0 0.0.254

例4: 

192.168.4.0/24

192.168.7.0/24

192.168.4.0/25

192.168.7.0/25

access-list permit 1 192.168.4.0 0.0.3.0

不能比對掩碼

例5:172.16.x.1/1-32   x=任意值

access-list 1 permit 172.16.0.1 0.0.255.0

ACL需要浪費CPU資源和帶寬

位址字首清單的作用類似于ACL，但比它更為靈活，且更易于為使用者了解

主要應用：路由資訊的過濾時，其比對對象為路由資訊的目的位址資訊域

字首清單：既能比對字首又能比對掩碼

ip prefix-list wolf permit 網絡号/掩碼

ip prefix-list wolf permit 172.16.0.0/24 ge 25 le 27

ip prefix-list wolf permit  網絡号/網絡号位數 掩碼大于等于25 掩碼小于等于27

ip prefix-list wolf permit 172.16.0.0/24  le 25

ip prefix-list wolf permit  網絡号/網絡号位數和最小掩碼 掩碼小于等于 25

隐含指令:ip prefix-list wolf deny  0.0.0.0/0 le 32

192.168.0.0/24

192.168.1.0/24

192.168.2.0/24

192.168.3.0/24

ip prefix-list wolf permit 192.168.0.0/22    ge  24  le 24

本文轉自 周小玉 51CTO部落格，原文連結：http://blog.51cto.com/maguangjie/1795044，如需轉載請自行聯系原作者