访问列表（ACL）

ACL是用于管理网络流量和减少网络攻击的一组规则。使用针对网络传入或传出流量指定的一组规则，ACL用于过滤流量。

访问列表的特点 –

• 定义的一组规则逐行匹配，从第一行开始匹配，然后是第二行，然后是第三行，依此类推。
• 只有在规则匹配之前的包被匹配到。规则匹配后不再进行进一步的比较，然后应用该规则。
• 每个ACL在末尾都有一个隐式的拒绝，这意味着如果既没有满足条件也没有满足规则，则数据包将被丢弃。

构建完成后，应将访问列表应用于接口的入站或出站流量：

• 入站访问列表 - 当将访问列表应用于接口的入站数据包时，在将数据包转发到出站接口之前，将首先按照访问列表进行处理。
• 出站访问列表 - 当将访问列表应用于接口的出站数据包头时，出站接口将在处理数据包之前先路由数据包。

访问列表的类型 –

访问列表有两种主要类型，如下所示：

• 标准访问列表： 这些访问列表仅使用源IP地址创建。这些ACL可以允许或禁止整个协议集。不区分TCP、UDP、HTTPS和其他类型的IP流量。如果使用1-99或1300-1999的编号，路由器将将其识别为标准ACL，并将指定的地址视为源IP地址。
• 长访问列表： 这个ACL使用源IP、目标IP、源端口和目标端口。我们还可以使用这些ACL指定应允许或阻止哪些IP流量。它们使用100-199和2000-2699范围。客户机上的进程在时间T 0 向时钟服务器发送一个时间请求（服务器上的时间）。

此外，还有两种类型的访问列表：

• 编号访问列表 是创建后无法特定删除的访问列表；例如，如果我们要从访问列表中删除任何规则，则在编号访问列表的情况下不允许。如果我们尝试从中删除一个规则，则整个访问列表将被删除。标准访问列表和扩展访问列表都可以使用编号访问列表。
• 命名访问列表： 在这种类型的访问列表中，为访问列表指定一个名称以进行标识。与编号访问列表不同，命名访问列表可以被删除。这些可以与标准和扩展访问列表一起使用，就像编号访问列表一样。

访问列表的指导原则 –

• 通常，在接近目的地的位置使用标准访问列表（但不总是）。
• 通常，在接近源头的位置使用扩展访问列表（但不总是）。
• 每个接口、每个协议和每个方向只允许分配一个ACL，这意味着每个接口只能有一个入站和一个出站ACL。
• 如果使用编号访问列表，则无法删除其中的规则。如果尝试删除一条规则，将删除整个ACL。如果使用命名访问列表，则可以删除特定规则。
• 在实施访问列表之前，仔细分析整个情景，因为每添加一个新规则都将放置在访问列表的底部。
• 每个访问列表在末尾都有一个隐式的拒绝，因此我们需要至少在那里有一个许可语句；否则，所有流量都将被阻止。
• 扩展访问列表不能与标准访问列表共享相同的名称。

访问列表的好处 –

• 提高网络效率。
• 可以根据特定要求定制访问列表并防止恶意数据包进入网络，提供安全性。
• 根据网络需求允许或阻止流量，提供流量控制。