• 0x0 why we use ACL?
• 0x1 what is ACL?
• 0x2 how to use ACL?
• 0x3 ACL的分类
• 0x4 五元组？
• 0x5 通配符？
• 0x6 ACL的匹配规则？

0x0 why we use ACL?

• 当一条局域网被打通以后，需要隔离通信，完成某些设备不能访问某些设备

0x1 what is ACL?

• ACL被称作访问控制列表，每个表项表现为：匹配条件+执行动作
• 每个接口的in和out方向只能绑定一个ACL

0x2 how to use ACL?

• 先写出ACL列表
• 在接口的in或者out方向绑定ACL
• 诀窍：多判断数据源

0x3 ACL的分类

• 分类：（识别数据的能力分类）
  1. 标准ACL：只考虑源IP识别
  2. 扩展ACL：识别5元组，写起来复杂，精确
  3. 基于二层的ACL：用的少，匹配的是二层的头部
• 分类：（按照匹配的条目顺寻）
  1. 命名ACL：可以准确的修改ACL中的各个规则，规则可以按照指定顺序写入
  2. 传统ACL：每次需要修改就得删除整个ACL表，规则是按照写入顺序进行排序的。

0x4 五元组？

• 源ip 目的ip 源端口号 目的端口号 协议号

0x5 通配符？

1. 用来匹配IP地址
2. 通配符为0的位必须和 被匹配的IP地址一模一样
3. 通配符为匹配条件，不在乎被匹配的是IP地址，还是网段地址
4. 通配符的1，0可以不连续

0x6 ACL的匹配规则？

• 按照顺序进行匹配，先写先匹配，匹配后执行对应动作放通或者拒绝
• 如果没有匹配上就匹配下一条
• 直到最后一条也没匹配上后，执行默认规则，丢弃（思科）或者允许通过（华为）