18 ACL访问控制列表（access control list）

对IP网络流量进行配置，允许或者不允许某些包连接某些服务器
对流量进行分类
可以把它简单认为是一个防火墙
当把ACL当作过滤器来使用的时候
允许或者不允许某些包通过路由器
没有ACL的时候，所有的包都是允许到所有的地方去的


ACL所能分辨的信息到4层，ACL也称为包防火墙，可以根据流量的TCP/IP或者UDP或者端口号来进行过滤，但是并不能进行内容过滤
ACL可以对流量进行分类，不会对流量进行过滤，只能起到分检器的作用

当数据包进去路由器的时候，先检查路由表，有的话去检查出接口是够挂载ACL（ACL当做过滤器来使用的时候，是需要绑定接口的，两个方向：出向还是入向，即检测进来的还是检测出去的包。一个接口上最多挂两个ACL，也就是说每个方向挂载一个，可以在一个ACL上设定多个规则），是的话进行ACL控制测试，ACL允许该包通过的话就转发。若其中任意过程为否，该包丢弃。
一个ACL可以设定多个判定条件，只要匹配一个就可以转发，多个条件之间的逻辑关系是或，当匹配到其中一个判定条件的时候，立即执行该条件后的动作，若全部不匹配，则将该包丢弃。

ACL分为两种类型：
标准ACL：速度快，只能基于发送的源IP地址进行判断
扩展ACL：扩展的ACL较为精细一点，可以基于源地址，目标地址，协议，端口号进行判断。速度相对来说慢一点。
怎么区分两种ACL：基于编号：当编号在1-99，1300-1999就是标准的
当编号是100-199，2000-2699就是扩展的
基于命名：明确指出ACL类型

标准访问控制列表的语法格式（基于编号）
Access-listaccess-list-number
｛permit | deny | remark｝source 【mask】
示例：
拒绝所有来自1.1.1.1的数据包
Access-list 1 deny 1.1.1.1 0.0.0.0（反码，0表示匹配，1表示无所谓）
Access-list 1 permit 0.0.0.0 255.255.255.255 （因为默认是拒绝所有，没有这条命令数据包是无法通过的）
或者：access-list 1 deny host1.1.1.1
Access-list 1 permit any （host和any是预先设定好的通配符）
允许所有来自192.168.1.0/24的数据包
Access-list1 permit 192.168.1.0 0.0.0.255
配置完之后还要绑定到端口。
（规则顺序很重要，但是编号ACL不允许删除单独的一条规则
例如
Access-list1 deny 1.1.1.0 0.0.0.255
Access-list1 permit 1.1.1.1 0.0.0.0
这样的话第二条规则永远不会生效，因为在匹配了第一条规则后，就会立即执行第一条规则之后的动作，不再向下进行匹配）
在接口配置模式下：
Ipaccess-group access-list-number ｛in | out｝
标准ACL配置大体分为两步：
①：在全局配置模式下创建访问控制列表，并且设定规则
②：在接口配置模式下挂载ACL，并指定方向。
扩展访问控制列表语法格式
示例
拒绝所有从1.1.1.1到2.2.2.2 的ping包（ping使用的是ICMP协议）
Access-list100 deny icmp host 1.1.1.1 host 2.2.2.2
Access-list100 permit ip any any
拒绝所有从1.1.1.0/24 到2.2.2.0/24的http流量
Access-list 100 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq（端口号） 80
命名访问控制列表（可以单独删除其中的一条规则）
示例：
Ipaccess-list standard name
Deny host 172.16.4.13
Permit 172.16.4.0 0.0.0.255
Interface e0
Ip access-group name ｛out | in｝
删除的时候可以直接no其中一条
Remark 注释 没有什么意义，只是简单的注释
可以通过show access-list 查看