ACL--流量控制工具

流量控制工具

ACL ： access control list , 访问 控制 列表 。

作用:基于一定的规则，进行数据流量的匹配。仅仅是用于流量的匹配。 对这些规则的后续处理动作，是由调用ACL的工具来决定的。

对像：2层流量(DMAC+SMAC+Vlan+Type+ ..... +FCS-frame-checksum) 3层流量(DIP+SIP)

实现：ACL permit（允许） deny（拒绝）

分类: 标准ACL:在匹配流量时，只能匹配流量的源IP地址； 扩展ACL:在匹配流量时，可以同时匹配流量的源IP地址、目标IP地址、TCP/UDP+端口号

表示： ID：通过数字来表示不同的ACL； name：通过名字来表示不同的ACL；

原理：一个ACL，就是一套规则。一个ACL中，就有多个不同的细分条目； 不同的条目之间，是通过编号进行区分的；通过ACL匹配流量时， 是按照编号从小到大的顺序，依次检查每个“细分条目”的： 如果能匹配住，则执行前面的动作(deny/permit)； 如果不能，则继续检查下一个“细分条目” 如果到最后都没有匹配住，则执行 ACL 最后一个 默认的“细分条目” --- 拒绝所有（deny any ）！

IP-ACL（3层ACL，针对的是3层流量）

标准ACL：只能匹配IP数据包的 源IP地址

扩展ACL：能够同时匹配IP数据包的(源IP 目标IP) 传输层协议

扩展ACL匹配流量，更加精确： 确定流量的唯一5元组：源IP、目标IP、源端口、目标端口、传输层协议

对数据而言，凡是能够通过“传输层协议+端口号”的方式进行表示的，则表示该数据是属于“应用层”。 路由器查找路由表时，有一个最长匹配原则，匹配的越长，表示地址越精确。

注意：任何一种类型的ACL，最后都有一个“拒绝所有”的条目。