一、簡介

1、ACL（Access Control List）訪問控制列表可以定義一系列不同的規則，裝置根據這些規則對資料包進行分類，並針對不同型別的報文進行不同的處理，從而實現對網路訪問行為的控制、限制網路流量、提高網路效能、防止網路攻擊等待。

  2、ACL可以通過定義規則來允許或拒絕流量的通過，可以根據需求來定義過濾的條件已經匹配條件後所執行的動作。

3、每個ACL可以可以包含多個規則，RTA根據規則來對資料流量進行過濾，Rule-id用於決定規則的優先順序，處理規則之間的重複或者矛盾。如果不匹配，則匹配下一條，一旦找到一條匹配的規則，則執行規則中定義的動作，並不再繼續與後續規則進行匹配，如果找不到匹配的規則，則裝置不對報文進行任何處理。

二、基本ACL配置

基本ACL儘量配置在靠近目的的埠位置

相關命令示例：

acl 2000                   //設定編號，也可以直接命名，但需要指定為基本型別，如acl name test basic，其中basic表示基本型別

  rule deny source 192.168.1.0 0.0.0.255   //拒絕192.168.1.0/24網段的源主機訪問，rule-id自動為5，間隔預設為5，也可以在rule後面手動指定。

int g0/0/0

  traffic-filter outboud acl 2000  //在端口出方向上繫結ACL，阻止來自192.168.1.0/24網段的主機資訊從該埠發出。

display acl all                    //檢視ACL

display acl 2000                  

display traffic-filter applied-record    //檢視ACL繫結記錄



acl 2001

   rule 5 permit source 192.168.100.0 0.0.0.255   //允許192.168.100.0/24網段主機訪問

   rule 10 deny source any                     //拒絕任意網段主機訪問

user-interface vty 0 4

   acl 2001 inbound                 //在使用者介面下，對登入繫結ACL，只允許 192.168.100.0/24網段的主機遠端登入。   
 

三、高階ACL配置

高階ACL能夠根據源/目的IP地址、源/目的埠號、網路層及傳輸層協議以及IP流量分類和TCP標記值等各種引數（SYN|ACK|FIN等）進行報文過濾。高階ACL儘量配置在靠近源的埠位置。

相關命令示例：

acl 3000        //設定編號，也可以使用命名，如acl name test advance

  rule deny tcp source 192.168.1.1 0 destination 172.16.10.1 0 destination-port eq ftp  //拒絕192.168.1.1主機訪問172.16.10.1的ftp埠

int g0/0/1

   traffic-filter inbound acl 3000   
 

ACL應用-NAT

nat address-group 1 202.100.1.100 202.100.1.110   //建立NAT地址池

nat address-group 2 202.100.1.111 202.100.1.120

acl 2000                                            //建立ACL用於指定源地址

  rule 5 permit source 192.168.1.0 0.0.0.255

acl 2001

  rule 5 permit source 192.168.2.0 0.0.0.255

int g0/0/1

    nat outbound 2000 address-group 1        //在埠下，將地址池和ACL繫結實現NAT轉換，這是預設的埠轉換

    nat outbound 2001 address-group 2