CCNA小白教程-7.1 ACL

     ACL (access controllist)是网络设备上最常用的安全技术，是一个需要人工编写的、用于检查和控制流量的脚本，简称ACL。 网络设备能够执行ACL，对流量进行检查、控制，ACL最常见的应用场景，是被用于部署网络安全策略。

1  ACL的基本结构和控制逻辑
1)       一个ACL由若干条语句组成
2)       每一条语句有两个要素：检查条件和控制 （即if…then…结构）
        检查条件是检查流量通信特征的；
        每一条语句的控制只能指定一个操作：permit或者deny；
3)       ACL按语句顺序执行，当数据包第一次匹配某条语句的检查条件，就被该语句控制和处理，然后退出ACL，后续的acl语句不会再执行。
4)       如果流量不满足本语句的检查条件，本语句就不对流量进行任何控制；流量继续被下一条语句检查。
5)       ACL的最后是一条默认语句：deny any，如果流量没有满足所有的语句，将被最后一条语句控制，结果一定是deny。
​
2 ACL的类型
   根据acl的检查功能的不同，分为两种类型：标准ACL和扩展ACL。
         标准ACL:只能检查流量的源ip地址；
         扩展ACL：可以同时检查流量的：protocol、源ip、目的ip、源端口、目的端口等信息，执行更精细的流量检查、控制。如下图所示：


3 ACL的配置方式
    思科IOS提供了两种配置ACL的方式，它们仅仅是表面的语法有细微不同，内部的控制逻辑是完全一样的，两种配置方式，可以任选其一。
   命名式ACL: 使用字符短语作为acl的名字，使用关键字指定acl的类型。
   编号式ACL:  使用数字作为acl的名字.
               1—99，表示标准ACL
               100—199，表示扩展ACL

4 编写ACL的基本原则
   标准或扩展ACL，决定了流量检查的精细度和颗粒度；
   每个接口、每协议、每方向只允许部署一个ACL；
   ACL 语句的顺序控制着测试顺序，因此检查条件最具体的语句放到最前面，检查条件最宽松的放到最后面；
   最后的ACL 语句是默认的拒绝所有语句，因此每个列表需要至少一条permit 语句；
  出站ACL，不能控制以本接口为源的出站流量；
   在全局模式创建ACL，然后将其ACL应用到入站流量或出站流量的接口；
​ ACL 在网络中的部署位置：
        扩展ACL 应靠近源地址
        标准 ACL 应靠近目的地址



5  通配符掩码
在定义acl语句的检查条件时，使用“ip网络前缀+通配符掩码”的方式定义一个IP地址段范围。
通配符掩码是一个32bit的数字，使用“0”匹配，“1”忽略的规则，指定与“IP网络前缀”的匹配方式。
例如： 网络前缀和通配符掩码是：192.168.1.0 0.0.0.255
         表示ip地址的前三段与192.168.1.0的前三段匹配，ip地址的第四段可以是任何数字（即0-255），结果就定义了“192.168.1.0---192.168.1.255”的地址范围，凡是在这个范围的地址，都匹配成功。

通配符掩码的计算示例：
匹配172.30.16.0---172.30.31.0   通配符掩码：172.30.16.00.0.15.255​

匹配192.168.1.0所有的奇数地址：                 192.168.1.1 0.0.0.254
匹配192.168.1.0所有的偶数地址：                 192.168.1.0 0.0.0.254




​


​


参加免费公开课，请您说是由【攻城狮论坛】推荐的。报名收费培训的论坛会员，可享受优惠价格+赠送攻城狮论坛VIP会员。本文转自 华尔思 www.wallslab.net，版权归原作者所有。

感谢楼主分享！

学习IT知识,自学网络技术,就来攻城狮论坛bbs.vlan5.com

不错，又占了一个沙发！

果断MARK，前十有我必火！

楼主，不论什么情况你一定要hold住！hold住就是胜利！

果断MARK，前十有我必火！

看帖看完了至少要顶一下！

果断MARK，前十有我必火！

也还没学到acl，不知道楼主讲的对不对。涨知识吧。