ACL访问控制列表原理

简介

访问控制列表（Access Control Lists，ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制列表具有许多作用，如限制网络流量、提高网络性能；通信流量的控制，例如ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量；提供网络安全访问的基本手段；在路由器端口处决定哪种类型的通信流量被转发或被阻塞，例如，用户可以允许E-mail通信流量被路由，拒绝所有的 Telnet通信流量等。

功能

1）限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被网络设备处理。

2）提供对通信流量的控制手段。

3）提供网络访问的基本安全手段。

4）在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

例如，用户可以允许E- mail通信流量被路由，拒绝所有的Telnet通信流量。例如，某部门要求只能使用WWW这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

工作原理

①当一个数据报进入一个端口，路由器检查这个数据报是否可路由。

如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据报。

如果有，根据ACL中的条件指令，检查这个数据报。

如果数据报是被允许的，就查询路由表，决定数据报的目标端口。

②路由器检查目标端口是否存在ACL控制流出的数据报。

若不存在，这个数据报就直接发送到目标端口。

若存在，就再根据ACL进行取舍。然后在转发到目的端口。

总之，一入站数据包，由路由器处理器调入内存，读取数据包的包头信息，如目标IP地址，并搜索路由器的路由表，查看是否在路由表项中，如果有，则从路由表的选择接口转发（如果无，则丢弃该数据包），数据进入该接口的访问控制列表（如果无访问控制规则，直接转发），然后按条件进行筛选。

当ACL处理数据包时，一旦数据包与某条ACL语句匹配，则会跳过列表中剩余的其他语句，根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配，那么将依次使用ACL列表中的下一条语句测试数据包。该匹配过程会一直继续，直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配，通常会隐含拒绝一切数据包的指令。此时路由器不会让这些数据进入或送出接口，而是直接丢弃。最后这条语句通常称为隐式的“deny any”语句。由于该语句的存在，所以在ACL中应该至少包含一条permit语句，否则，默认情况下，ACL将阻止所有流量。