ACL理论

访问列表最初的目的是许可或拒绝访问进入、离开，经过的数据，现在成为帧和数据包的强大工具

ACL用来控制端口进出的数据包，ACL适用于所有的被路由协议如IP、IPX、AppleTalk等

安全过滤：保护数据流量的完整性

流量过滤：阻止不必要的数据包通过有限带宽的链路

隐藏拒绝所有，拒绝没授权的数据起到保护内网作用

ACL:是一个有序的规则的集合，通过匹配的信息进行分类

ACL顺序很重要，注意写入顺序

ACL分为很多类型：扩展、标准、IPX、XNS等

前期的标准ACL、扩展ACL，大型网络建议使用命名ACL

二层访问控制列表:基于vlan、MAC

标准ACL:直接比较源地址通配符，通配符相同的则按配置顺序；（参考建议：通配符为奇数或0）

扩展ACL:先比较源地址通配符，相同时再比较目的地址通配符，仍相同时则比较端口号的范围，范围小的排在前面，如果端口号范围也相同则按配置顺序

对于操作输入错误试图删除一行，小心删除，不熟悉的建议粘贴到记事本上进行修改删除

功能层面的控制

1、控制层面:针对路由协议的控制（路由过滤、路由属性操作）

2、数据平面:针对于数据报文的控制（数据包过滤，数据报文字段

输入ACL需要注释一下，以便下次忘记

access-list 1 remark permit_R1_Telnet注明作用，由于时间问题，条目众多无法区分

access-list 2 permit 172.16.1.1 0.0.0.0=access-list 2 permit 172.16.1.1意思相同

access-list 3 permit 0.0.0.0 255.255.255.255=access-list 3 permit any意思相同

深度优先规则是把指定范围最小的语句排在最前面。通过比较通配符来实现

172.16.0.0  0.0.0.255通配符【匹配路由0表示严格匹配 1表示任意匹配】

访问控制会拒绝匹配的数据和路由，但是不会拒绝没有匹配的路由【deny any any 对其他路由不生效】

access-list 100 permit ip 172.16.1.1 0.0.0.0 10.1.1.1 0.0.0.0

access-list 100 permit ip host 172.16.1.1 host 10.1.1.1意思相同

access-list 101 permit ip0. 0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

access-list 101 permit ip any any意思相同

由于ACL在调用时，会多次检查读取数据包中的字段，有时会消耗大量的CPU

标准访问控制列表：一般应用在out出站接口，建议配置在离目标端最近的路由上

扩展访问控制列表：一般应用在in入站接口，配置在离源端最近的路由上

ip accounting access-violations在接口上应用，作用计费监视

ip access-list 1 permit 192.168.0.0 0.0.0.0   同时匹配/25-32

时间访问控制列表：时间访问控制列表只能和扩展的访问控制列表结合使用

自反访问控制列表：自反访问列表只能和命名的扩展访问列表结合使用

自反ACL:基于会话的过滤器，自动驻留的、暂时的

自反ACL:只可以内网访问外网，外网无法访问内网

自反ACL只可以在全局模式下使用，只能配置在命名ACL中

例1： 

172.16.1.1/24

……

172.16.3.1/24

access-list 1 permit 172.16.1.1 0.0.3.0 0.0.3.255

0000 0000.0000 00001

0000 0001.0000 00001

0000 0010.0000 00001

0000 0011.0000 00001

---------------------------------------

0000 0011.0000 0000

access-list 99 permit 172.16.0.1   0.0.1.0=access-list 99 permit 172.16.1.1 0.0.1.0

例2: 

192.168.4.8/32

192.168.7.8/32

access-list 1 permit 192.168.4.8 0.0.3.0

例3: 172.16.0.0/24  第三个位为奇数

例如：

172.16.1.0/24

172.16.3.0/24

172.16.xxxx xxx1.0    0.0.254.0

access-list 1 permit 172.16.1.0 0.0.254

172.16.0.0/24  第三个位为偶数

172.16.xxxx xxx0.0    0.0.254.0

access-list 1 permit 172.16.2.0 0.0.254

例4: 

192.168.4.0/24

192.168.7.0/24

192.168.4.0/25

192.168.7.0/25

access-list permit 1 192.168.4.0 0.0.3.0

不能匹配掩码

例5:172.16.x.1/1-32   x=任意值

access-list 1 permit 172.16.0.1 0.0.255.0

ACL需要浪费CPU资源和带宽

地址前缀列表的作用类似于ACL，但比它更为灵活，且更易于为用户理解

主要应用：路由信息的过滤时，其匹配对象为路由信息的目的地址信息域

前缀列表：既能匹配前缀又能匹配掩码

ip prefix-list wolf permit 网络号/掩码

ip prefix-list wolf permit 172.16.0.0/24 ge 25 le 27

ip prefix-list wolf permit  网络号/网络号位数 掩码大于等于25 掩码小于等于27

ip prefix-list wolf permit 172.16.0.0/24  le 25

ip prefix-list wolf permit  网络号/网络号位数和最小掩码 掩码小于等于 25

隐含命令:ip prefix-list wolf deny  0.0.0.0/0 le 32

192.168.0.0/24

192.168.1.0/24

192.168.2.0/24

192.168.3.0/24

ip prefix-list wolf permit 192.168.0.0/22    ge  24  le 24

本文转自 周小玉 51CTO博客，原文链接：http://blog.51cto.com/maguangjie/1795044，如需转载请自行联系原作者