傳聞江湖亂世之時(shí)，出現(xiàn)了一門奇門妙計(jì)曰為“ACL”，其變化多端，神鬼莫測(cè)，讓人捉摸不透，若是能在交換機(jī)上或者是路由器上輕輕松松的使上一招，便能平定江湖的腥風(fēng)血雨。

所以這個(gè)ACL在江湖上被評(píng)為一段佳話。但是為什么ACL能有這么大的魔力呢，今天小老虎就帶你了解了解。

ACL，Acess Control List的簡稱，中文名稱訪問控制列表，它是由一系列的規(guī)則組成（即匹配報(bào)文的一系列條件），這些條件可以是源ip地址，目的ip地址，端口號(hào)等。

這樣說的話，大家是不是有點(diǎn)不太明白的了，那我們換個(gè)說法。

打個(gè)比方，ACL就像是個(gè)過濾器，ACL各式各樣的規(guī)則就是過濾器的濾芯，安裝什么樣的濾芯（即根據(jù)報(bào)文的性質(zhì)制定ACL的規(guī)則），ACL就能過濾什么樣的報(bào)文的。

基于過濾的報(bào)文，我們可以阻塞攻擊的報(bào)文，為不同的流量提供不同的差分服務(wù)，對(duì)telnet登陸/Ftp的文件下載進(jìn)行控制等，可以提高網(wǎng)絡(luò)環(huán)境的安全性和網(wǎng)絡(luò)傳輸?shù)目煽啃浴?/p>

現(xiàn)在我們來簡單的介紹下ACL中所含參數(shù)的含義：

1

ACL的類型

首先，圖中是一個(gè)數(shù)字型ACL，ACL編號(hào)是2000，這個(gè)類似于人類的身份證號(hào)，用來唯一標(biāo)識(shí)自己的身份，當(dāng)然，每個(gè)人出了自己的身份證標(biāo)明自己外還有自己的名字的，ACL除了數(shù)字型的ACL外還有命名式的ACL。

命名式ACL是一個(gè)名字+數(shù)字的格式，可以在定義ACL的名字時(shí)同時(shí)也可以指定ACL的編號(hào)。如果不指定編號(hào)，則使用系統(tǒng)的默認(rèn)編號(hào)。

實(shí)際上，按照ACL規(guī)則功能的不同，ACL劃分成基本ACL，高級(jí)ACL，二層ACL，用戶自定義ACL和用戶ACL這五種類型，每種類型的ACL對(duì)應(yīng)的ACL的編號(hào)是不同的，見下圖：

2

ACL規(guī)則

現(xiàn)在，我們來看看圖中ACL語句中的“pemit/deny”語句，這些個(gè)條件語句，我們稱之為ACL的規(guī)則，其中的permi/deny，是稱為ACL的動(dòng)作，表示的意思是拒絕和允許。

每條規(guī)則都有自己的編號(hào)，比如：5,10,15，這些編號(hào)可以自己手工去分配，也可以系統(tǒng)去自動(dòng)分配的，那系統(tǒng)是怎么樣分配的呢？

ACL規(guī)則的編號(hào)是從0~4294967294，所有的規(guī)則系統(tǒng)都是從小到大的順序進(jìn)行排序，系統(tǒng)按照編號(hào)從小到大的順序依次匹配報(bào)文，一旦匹配上一條規(guī)則，即刻停止匹配。

除了包含ACL動(dòng)作和規(guī)則編號(hào)，我們還是可以看到ACL規(guī)則中還定義了源地址、生效時(shí)間段這樣的字段，這些字段，稱之為匹配選項(xiàng)，它是ACL規(guī)則的重要組成部分。

其實(shí)呢，ACL還提供了豐富的匹配選項(xiàng)，你可以選擇二層以太網(wǎng)幀頭信息（如源MAC，目的MAC，以太網(wǎng)幀的協(xié)議類型）作為匹配的選項(xiàng)，也是可以選擇三層的報(bào)文信息（如源地址，目的地址，協(xié)議的類型）作為匹配選項(xiàng)，還可以選擇四層的報(bào)文信息（如TCP/UDP的端口號(hào)）等等。

3

步長

步長，是指系統(tǒng)中自動(dòng)為ACL規(guī)則分配編號(hào)時(shí)，每個(gè)相鄰規(guī)則編號(hào)之間的差值，也就是說，系統(tǒng)是根據(jù)步長值自動(dòng)為ACL規(guī)則分配編號(hào)的。ACL的缺省步長是5，通過display acl acl-number命令，可以查看ACL規(guī)則，步長等信息，通過step命令，可以修改ACL的步長值。

講到這，設(shè)置ACL的步長有什么作用呢？

其實(shí)呢，設(shè)置步長的目的，是為了方便大家在ACL規(guī)則之間插入新的規(guī)則。

比如：

現(xiàn)在這樣的一條ACL中，已經(jīng)包含了三條規(guī)則5,10,15。如果你是希望源ip地址為1.1.1.4的報(bào)文報(bào)文也是禁止通過的了，我們是該如何處理的呢？

我們來分析一下，ACL的原則就是“一經(jīng)命中立即停止匹配的過程”，所以源ip地址為1.1.1.1和1.1.1.2的報(bào)文，會(huì)在匹配上編號(hào)較小的rule 5和rule 10后停止匹配，從而被系統(tǒng)禁止通過，而源IP地址為1.1.1.4 的報(bào)文，則只會(huì)命中rule15，從而得到系統(tǒng)允許通過，我們要想讓源ip地址為1.1.1.4的報(bào)文也是禁止通過，我們必須為該報(bào)文配置一條新的deny規(guī)則

rule 11 deny source 1.1.1.4//表示的就是禁止源IP地址為1.1.1.4的報(bào)文通過

假如，如果這條ACL規(guī)則之間的間隔不是5，而是1，這時(shí)要是想插入新的規(guī)則，那我們就只能刪除已有的規(guī)則，然后在配置新的規(guī)則，最后將之前刪除的規(guī)則在重新配置回來，如果這樣，那我們要付出的代價(jià)可是有點(diǎn)大的啊。

所以，我們一定要設(shè)置ACL的步長，為規(guī)則留下一定的空間，方便我們之后插入新的規(guī)則的哦。

好啦，以上就是介紹的ACL的基礎(chǔ)理論知識(shí)。

以上就是今天的分享啦，更多問題歡迎大家留言討論~記得點(diǎn)擊“在看”哦！

最后?

太閣老師的個(gè)人微信

添加太閣老師個(gè)人微信領(lǐng)?。禾w免費(fèi)視頻資料、NA綜合實(shí)驗(yàn)配置文件拓?fù)鋱D及模擬器、太閣獨(dú)家實(shí)驗(yàn)手冊(cè)、網(wǎng)工必讀書籍等