# ACL的作用 ``` 1：限制网络流量，提高网络性能。 2：提供数据流控制 3：为网络访问提供基本的安全层。 4：决定转发或阻止哪些类型的数据流。 ``` # ACL工作流程  # 指令组流程 ``` ACL指令组是逐条执行的，在逐条执行的过程中，只要发现有一条匹配，则使用那一条规定动作确定允许或拒 绝，（比如说执行第一条的时候就匹配了，那么就使用第一条规定的动作允许或拒绝，后面的语句就不会被执 行了），如果所有指令都不匹配，默认的动作就是拒绝。 ``` # 通配符掩码在ACL中的作用 ``` 路由器使用通配符掩码（Wildcard Masking）与源或目标地址一起来分辨匹配的地址范围，在访问控制列 表中，将通配符掩码中的位设置成1标识忽略IP地址中对应的位，设置成0标识必须精确匹配IP地址中对应的位。 范例1： 192.168.1.0 0.0.0.255 这个例子中，通配符掩码是0.0.0.255，前面24位是0，最后8位是1，也就是前面24必须精确匹配，最后8位 是什么都没有关系。将这个通配符和前面的IP地址192.168.1.0结合起来的意思就是，匹配从192.168.1.0 到192.168.1.255的所有IP地址。（这和OSPF和EIGRP中的反掩码是一个道理。） 范例2： 192.168.0.0 0.0.255.255 匹配的IP地址范围是192.168.0.0-192.168.255.255 范例3： 192.168.16.0 0.0.7.255 这个例子中，通配符掩码的第三个数是7，IP地址的第三位是16，对他们进行分解转化成二进制。 7 = 00000 111 16 = 00010 000 前面说过，通配符掩码中0的部分必须精确匹配，1的部分什么都可以，也就是说16的二进制标识法前面的5位 （00010）必须精确匹配，最后的3位的取值范围可以是（000-111）那么就是：00010 000-00010 11 转 化成十进制就是16-23 所以这条规则匹配的IP地址范围是 192.168.16.0-192.168.23.255。 ``` # 如何编写标准ACL ``` access-list {ACL的编号} {deny|permint} {source} {source-wildcard|any} [log] #拒绝|允许 #源地址 #通配符|允许所有 其中大括号{}里面的类内容表示必选，中括号[]里面的内容标识可选 ``` # 练习题目40分钟 ``` 1:理解通配符掩码在ACL中的作用 2：理解编写标准ACL 3：完成标准ACL的实验 ```