控制訪問列表

⑴ 訪問控制列表有哪幾種類型,分別在哪個位置

分類

1、標准IP訪問列表

一個標准IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包採取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。

2、擴展IP訪問

擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項，包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。

3、命名的IP訪問

所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標准和擴展兩種列表，定義過濾的語句與編號方式中相似。

4、標准IPX訪問

標准IPX訪問控制列表的編號范圍是800-899，它檢查IPX源網路號和目的網路號，同樣可以檢查源地址和目的地址的節點號部分。

5、擴展IPX訪問

擴展IPX訪問控制列表在標准IPX訪問控制列表的基礎上，增加了對IPX報頭中以下幾個欄位的檢查，它們是協議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號范圍是900-999。

6、命名的IPX訪問

與命名的IP訪問控制列表一樣，命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表，同樣有標准和擴展之分。

(1)控制訪問列表擴展閱讀

訪問控制列表的使用

ACL的使用分為兩步：

(1)創建訪問控制列表ACL，根據實際需要設置對應的條件項；

(2)將ACL應用到路由器指定介面的指定方向(in/out)上。

在ACL的配置與使用中需要注意以下事項：

(1)ACL是自頂向下順序進行處理，一旦匹配成功，就會進行處理，且不再比對以後的語句，所以ACL中語句的順序很重要。應當將最嚴格的語句放在最上面，最不嚴格的語句放在底部。

(2)當所有語句沒有匹配成功時，會丟棄分組。這也稱為ACL隱性拒絕。

(3)每個介面在每個方向上，只能應用一個ACL。

(4)標准ACL應該部署在距離分組的目的網路近的位置，擴展ACL應該部署在距離分組發送者近的位置。

⑵ 什麼是訪問控制列表

下面是對幾種訪問控制列表的簡要總結。
●標准IP訪問控制列表
一個標准IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包採取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。
●擴展IP訪問控制列表
擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項，包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
●命名的IP訪問控制列表
所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標准和擴展兩種列表，定義過濾的語句與編號方式中相似。
●標准IPX訪問控制列表
標准IPX訪問控制列表的編號范圍是800-899，它檢查IPX源網路號和目的網路號，同樣可以檢查源地址和目的地址的節點號部分。
●擴展IPX訪問控制列表
擴展IPX訪問控制列表在標准IPX訪問控制列表的基礎上，增加了對IPX報頭中以下幾個宇段的檢查，它們是協議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號范圍是900-999。
●命名的IPX訪問控制列表
與命名的IP訪問控制列表一樣，命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表，同樣有標准和擴展之分。

⑶ 華為 ACL訪問控制列表 （高級ACL為例）

Access Control List訪問控制列表–ACL

ACL是由一個或多個用於報文過濾的規則組成的規則集合，通過在不同功能上的應用 可 達到不同的應用效果。
路由器和交換機介面的指令列表，用來控制埠進出的數據包，配合各種應用（NAT、route police 前綴列表等）實現對應的效果。

匹配特定數據，實現對數據的控制（deny–拒絕，permit–放行）
實現網路訪問控制，Qos留策略，路由信息過濾，策略路由等諸多方面。

（1）：按照ACL過濾的報文類型和功能劃分

基本acl（2000-2999）：只能匹配源ip地址。
高級acl（3000-3999）：可以匹配源ip、目標ip、源埠、目標埠等三層和四層的欄位。

① 介面ACL（編號1000-----19999）
② 基本ACL（編號2000-----2999）
③ 高級ACL（編號3000-----3999）
④ 二層ACL（編號4000-----4999）
⑤ 自定義ACL（編號5000----5999）

（2）：按照命名方式劃分

① 數字型ACL（創建ACL是編號）
② 命名型ACL（給所創建的ACL賦予一個名稱）

定義ACL語句--------》介面/應用掛載-------》介面收到流量匹配ACL語句----------》數據命中ACL後執行語句動作。

（1）：一個ACL可以由多條「deny | permit」語句組成，每一條語句描述了一條規則
permit–放行，允許，抓取/匹配
deny----拒絕，過濾。

（2）：設備收到數據流量後，會逐條匹配ACL規則，看其是否匹配。
如果不匹配，則匹配下一條。一旦找到一條匹配的規則，則執行規則中定義的動作（permit或者deny）並且不再匹配後續的語句。
如果找不到匹配的規則，則設備不對報文進行任何處理（即默認執行prmit any any，放行所有）

注意： ACL中定義的這些規則可能存在重復或矛盾的地方。規則的匹配順序決定了規則的優先順序，ACL通過設置規則的優先順序來處理規則之間重復或矛盾的情形

配置順序和自動排序

（1）配置順序：

配置順序按ACL規則編號（rule-id）從小到大的順序進行匹配。
設備會在創建ACL的過程中自動為每一條規則分配一個編號（rule-id），規則編號決定了規則被匹配的順序(ARG3系列路由器默認規則編號的步長是5)。

（2）自動排序：

自動排序使用「深度優先」的原則進行匹配，即根據規則的精確度排序，匹配條件（如協議類型，源目的IP地址范圍等）限制越嚴格越精確。
若「深度優先」的順序相同，則匹配該規則時按照規則編號從小到大排列。

rule

（1） 一個ACL內可以有一條或者多條規則，每條規則都有自己的編號，在一個ACL每條語句的規則編號時唯一的，每條編號代表一個ACL語句和動作。
（2） ACL的規則編號（rule id）默認自動生成，也可以手動指定，一般我們通過手動插入新的rule 來調整ACL的匹配規則。
（3）默認每條規則號的從0開始，增長規則為步進5（通過step命令修改步進號）