一、ACL的分類

1. 標準訪問列表
   只能基于源IP地址來進行分類
   可以使用列表號：1-99、1300-1999
2. 擴展訪問列表
   可以根據源IP地址、目的IP地址、源端口號、目的端口號，協議來進行分類
   可以使用列表號：100-199、2000-2699
3. 命名的訪問列表
   只是將標準訪問列表或擴展訪問列表取個名字
   優點：可以對訪問列表進行增加、刪除操作。

二、語法規則

1. 從上往下查找匹配
2. 默認deny any
3. 至少有一句permit
4. 精確的放最上面
5. 3P原則：一個port、一個方向、一個協議，只能用一個ACL
6. 入站ACL是首選的（節約資源）
7. 能過濾過路的數據，不能過濾自己產生的
8. 標準ACL-離目標越近越好
9. 擴展ACL-離源越近越好

三、標準ACL配置

router(config)#access-list 10 permit 172.16.0.0 0.0.255.255

router(config)#access-list 20 deny 192.168.1.0 0.0.0.255
router(config)#access-list 20 permit any

router(config)#access-list 30 deny host 192.168.1.1

int f0/0
ip access-group 20 out

四、擴展ACL配置

router(config)#access-list 100 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255

router(config)#access-list 110 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet

router(config)#permit ip any any
int f0/0
ip access-group 100 in

五、命名ACL配置

ip access-list standard/extended ccna
deny host 192.168.1.1
permit any
int f0/0
ip access-group ccna out

六、應用舉例

1.只允許管理員通過VTY線路telnet路由器

R1(config)#access-list 1 permit 192.168.1.1
R1(config)#line vty 0 4
R1(config-line)#access-class 1 in

2.單向ping:PC無法ping路由器，路由器可ping PC，telnet能通

access-list 100 deny icmp host 192.168.1.1 host 192.168.1.254 echo
access-list 100 permit ip any any
int f0/0
ip access-group 100 in 

七、查看

show ip access-list 
show ip interface

除非注明，肉餅博客文章均為原創，轉載請以鏈接形式標明本文地址 　　
本文地址：http://roubin.me/post/acl-basic/