一、简介

访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换技术，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

二、工作原理

总之，一入站数据包，由路由器处理器调入内存，读取数据包的包头信息，如目标IP地址，并搜索路由器的路由表，查看是否在路由表项中，如果有，则从路由表的选择接口转发（如果无，则丢弃该数据包），数据进入该接口的访问控制列表（如果无访问控制规则，直接转发），然后按条件进行筛选。

当ACL处理数据包时，一旦数据包与某条ACL语句匹配，则会跳过列表中剩余的其他语句，根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配，那么将依次使用ACL列表中的下一条语句测试数据包。该匹配过程会一直继续，直到抵达列表末尾。

最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配，通常会隐含拒绝一切数据包的指令。此时路由器不会让这些数据进入或送出接口，而是直接丢弃。最后这条语句通常称为隐式的“deny any”语句。由于该语句的存在，所以在ACL中应该至少包含一条permit语句，否则，默认情况下，ACL将阻止所有流量。

三、应用

1. 应用在接口的ACL——过滤数据包（源目ip地址，源目mac，端口）
2. 应用在路由协议——匹配相应的路由条目
3. NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流（匹配上我设置的数据流的）

四、种类

编号2000-2999——基本ACL——依据依据数据包当中的源IP地址匹配数据（数据时从哪个IP地址过来的）
编号3000-3999——高级ACL——依据数据包当中源、目的IP，源、目的端口、协议号匹配数据
编号4000-4999——二层ACL——MAC、VLAN-id、802.1q

五、配置实例

1.配置客户端和服务器ip

pc1:192.168.1.1/24

pc2：192.168.1.2/24

server1:192.168.2.1/24

server2:192.168.3.1/24

2.配置路由接口ip

3.配置接口acl过滤ip

需求1配置：

基本acl范围：2000 ~ 2999

acl规则条目：默认起始序号为5，step为5（便于更改插入条目）

通配符：在acl中，可使用通配符掩码指定特定网络或者特定主机的范围，通配符中0对应ip地址不可变位，1对应ip地址中可变位。

- 单个ip地址通配符：0

- 一个网段中所有ip地址：0.0.0.255