速来围观，浅谈ACL(访问控制列表)，关系到你家的网络安全

涵哥 · 发表于 2017-5-18 15:01:32

首先解释一下，啥是ACL，中文名称叫访问控制列表，可以理解成保卫网络安全的技术之一。
另外,ACL可以工作在网络的二层(链路层)或是三层(网络层)，以工作在三层的ACL为例，基本原理如下：
想在某个路由器技术上用ACL控制(比如说是切断)对某个IP地址的访问，那么只要把这个IP地址通过配置加入到ACL中，并且针对这个IP地址规定一个控制动作，比如说最简单的丢弃。当有报文经过这个路由器技术的时候，在转发报文之前首先对ACL进行匹配，若这个报文的目的IP地址存在于ACL中，那么根据之前ACL中针对该IP地址定义的控制动作进行操作，比如丢弃掉这个报文。这样通过ACL就可以切断对于这个IP的访问。
ACL同样也可以针对报文的源地址进行控制。如果ACL工作在二层的话，那么ACL控制的对象就从三层的IP地址变成二层的MAC地址。从ACL的工作原理可以看出来，ACL是在正常报文转发的流程中插入了一个匹配ACL的操作，这肯定会影响到报文转发的效率，如果需要控制的IP地址比较多，则ACL列表会更长，匹配ACL的时间也更长，那么报文的转发效率会更低，但是这对于一些主干路由器来讲是非常糟糕的。

微信扫一扫，阅读更方便^_^