ACL（用访问控制列表实现包过滤）

ACL概述：

ACL（AccessControlList，访问控制列表）是用来实现数据包识别功能的

ACL可以应用于诸多方面

→包过滤防火墙功能

→NAT（NetworkAddressTranslation，网络地址转换）

→QoS（QualityofService，服务质量）的数据分类

→路由策略和过滤

→按需拨号

基于ACL的包过滤技术：

a.对进出的数据包逐个过滤，丢弃或允许通过

b.ACL应用于接口上，每个接口的出入双向分别过滤

c.仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤

入站包过滤工作流程:

当数据包入站时首先会检测是否配置了ACL包过滤，若无配置则直接通过，若配置则会匹配规则，若匹配成功则通过ACL判断是丢弃或者通过，若匹配失败则匹配第二条，依次类推，如若一直匹配失败至最后一条则再进行ACL判断是丢弃或者通过。注意：并不是匹配失败则丢弃，而是匹配成功由ACL判断是丢弃还是通过，匹配失败会进入下一条规则。

 出站包过滤工作流程:

 出站原理同进站类似。

通配符掩码：

通配符掩码和IP地址结合使用，以描述一个地址范围

通配符掩码和子网掩码相似，但含义不同

→0表示对应位须比较