ACL（访问控制列表）学习总结

一、ACL概述：

ACL是由permit或deny组成的一系列有序的规则，它告诉路由器端口处决定哪种类型的通信流量被转发或者被阻塞。所有的ACL的最后一行上都有隐含的deny语句，且他的顺序不可改变。

ACL主要具有包过滤、服务质量（QoS）、按需拨号路由（DDR）、网络地址转换（NAT）、路由过滤等功能。

ACL的基本原理时使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而到达访问控制的目的。

网络中的节点分为资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

由于ACL是使用包过滤技术来实现的，过滤的仅仅是第三层和第四层包头中的部分信息，所以ACL技术不可避免的具有一定的局限性。

二、ACL的基本配置：

1、配置ACL需要遵循两个基本原则：

（1） 最小特权原则：只给受控对象完成任务必须的最小权限；

（2） 最靠近受控对象原则：所有网络层访问权限控制尽可能距离受控对象最近； 根据需要，提供两种基于IP的访问表：标准访问表和扩展访问表。标准访问表只是根据源IP地址来允许或拒绝流量，而扩展访问表允许基于子协议、源地址、源端端口、目的地址，以及目的端口许可或者拒绝流量，甚至还可以过滤基于时间或者用户身份过滤流量。

2、配置ACL的两个重要参数：

（1）ACL的表号和名字：

ACL的表号和名字都是用来表示或引用ACL的，名字用字符串标识，表号用数据表示，不同协议、不同种类的ACL，其表号范围不同，一般地，1~99用于标准IP ACL，100~199用于扩展IP ACL。

（2）ACL的通配符：

配置ACL的源地址或目的地址时，在允许或拒绝的IP地址后面，有一个参数是wildcard-mask——通配符，通配符用32位二进制数表示，表示形式与IP地址和子网掩码相同，而通配符实际上就是子网掩码的反码（如：IP地址202.112.66.1，其掩码是255.255.255.0，则其通配符就是0.0.0.255）

2、配置一个标准IP ACL：

在全局模式下：

命令格式：access-list access-list-number {permit|deny|source wildcard-mask}

例：在三层交换机上进行如下配置：

access-list 1 permit host 10.1.6.6 any

access-list 1 deny any

int vlan 1

ip access-group 1 out

其中，access-list用于配置ACL的关键字，后面的1就是ACL的表号；

host 10.1.6.6是匹配条件，等同于10.1.6.6 0.0.0.0，any表示匹配所有地址；

int vlan 1、ip acces-group 1 out：将access-list 1应用到vlan1接口的out方向；

3、配置一个扩展IP ACL：

在全局配置模式下：

（1）、使用access-list命令：

命令格式：access-list access-list-number {permit|deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]

例：在三层交换机上进行如下配置：

int vlan 1

no ip access-group 1 out

exit

no access-list 1

access-list 101 permit tcp host 10.1.6.6 any eq telnet

access-list 101 deny tcp any any eq telnet

int vlan 1

ip access-group 101 out

int vlan 3

ip access-group 101 out

其中，no access-list 1是用于取消access-list 1，对于非命名的ACL，可以只需要这一句就可以全部取消（注：在取消或修改一个ACL之前，必须先将它所应用的接口上的应用给no掉，否则会导致严重后果）；

tcp host 10.1.6.6 any eq telnet是匹配条件，完整格式为：协议 源地址 源wildcards[关系][源端口] 目的地址 目的wildcards[关系][目的端口]，协议可以是IP、TCP、UDP、EIGRP等，[]内为可选字段，关系可以是eq（等于）、neq（不等于）、lt（大于）、range（范围）等，端口一般为1-65535.

4、配置命名的IP ACL：

命名的IP ACL有两个优点：

（1）、解决ACL号码不足的问题；

（2）可以自由删除ACL中的一条语句，而不必删除整个ACL；

5、验证ACL：

（1）show running-config：快速显示应用的ACL并且不需要略过过多的输出条目；

（2）show ip interface：此命令显示ACL应用的位置；

（3）show ip access-lists：该命令具有显示匹配ACL中给定行的数据包数量的能力；

三、ACL总结：

在把IP ACL应用到网络中时，他的两种分类满足了全部需求。标准ACL过滤仅基于源地址，当仅需要基于源地址的允许和拒绝语句时，他们在路由器上会消耗较少的处理器和内存资源。常见的使用标准ACL的配置包括NAT、QoS和限制Telnet或安全壳（SSH）路由器访问。

扩展ACL允许基于源地址、目的地址、协议和端口号过滤。尽管它们会花费巨大的处理器资源，但是扩展ACL在选择流量类型允许或拒绝网络流量时具有很大的灵活性。扩展ACL主要应用于安全设置。创建ACL的类型依赖于执行配置时选择的访问表号，对于标准ACL，使用的号码是1~99；对于扩展ACL，使用的号码是100~199。

ACL被创建后对路由器不会产生任何影响。一个ACL要起作用，必须以某种方式应用

它。应用一个ACL到一个接口，使用ip access-group <access-list-number> <in/out>语法。为了决定ACL应用的方向，把自己放到路由器的位置。如果需要使用ACL过滤Telnet访问路由器，ACL应该被应用到VTY端口。

 

第二篇：CC学习总结

学习总结

公司在前两个月所开设的学习班对于我有了很大的促进作用，学习班分别开设了成本税收、公司资产管理、公司组织结构流程、产品质量控制及公司人事管理。通过这五次的学习使我对于公司的运作流程，人员管理及培养等等有了初步的了解，对于今后的工作也有了一定的帮助。

在第一和第二课中，财务部门的领导为我们讲解了关于企业资产，利润等一些财务的基本知识，我们也了解了企业资产与收入，利润，资金流动，资产损耗等之间的关系，使我们了解到了我们公司是如何产生效益的，并了解到了该如何把效益最大化。同时也使我对我的收入组成有了一定的认识，对于个人的收入税收也有了了解

第三课中，我们学习到了质量控制，对我们销售的项目管理工作，质量控制尤为重要，了解质量控制需要非常认真细致的工作，在允许的情况下，进一步作到成本消耗最小话，从而使利润最大话

第四课中，我们学习到了关于企业结构的组成和基本流程方面的知识，企业流程一般分为三种，直线式，事业部门制式和矩阵式。这方面的知识和我的工作很有关系，通过对企业深入的了解能够在我和客户交流的时候，对我们有更多帮助，更好的表达出我们公司的优势，对我日后的发展有一定的帮助。

最后一讲是企业的人事管理及大家最关心的薪金组成方式，做为最受大家关心的一课，经过花书记的讲解我们对自己今后薪金的构

成，是否有上升空间有了全新的了解，对我们帮助很大。

通过这几周的培训，我对公司总体情况有了部分的认识，不再象以前那样只对自己本部门工作了解，对我日后的发展有一定的帮助，使我更全面话，能够更加容易的适应新的工作，找到自己的立足点，对此我十分感谢领导对我们新职工的关心与帮助，让我感到领导对我们新一代大学生的重视，我今后会更加努力工作，不负组织的期望。

陈 琛

20xx/7/29