访问控制列表ACL(access control list)是应用在路由接口的指令列表，可以通过ACL来控制进出路由器的各种数据流，在路由器接口处控制数据包的转发或丢弃（根据具体配置的规则），ACL适用于所有的路由协议，如IP、IPX、AppleTalk，ACL分为2种类型：标准ACL

                                    扩展的ACL

拓扑如下，说明2种ACL的区别用法

pc1：192.168.1.10 255.255.255.0 gateway 192.168.1.1

pc2: 192.168.2.10 255.255.255.0 gateway 192.168.2.1

R1的配置

enable

config t

interface e0/0

ip address 192.168.1.1 255.255.255.0

no shutdowm

interface e0/1

ip add 192.168.2.1 255.255.255.0

no shutdown

用标准访问控制列表

实现目的一:禁止主机192.168.1.10访问192.168.2.0/24网络，其他允许

R1中

access-list 1 deny host 192.168.1.10

access-list 1 permit any

interface e0/1

ip access-group 1 out

实现目的二：内网中只允许192.168.0.0/24网络的流量通过，拒绝其他（网络）流量

access-list 2 permit 192.168.0.0 0.0.0.255

access-list 2 deny 0.0.0.0 255.255.255.255 （any）

interface e0/0

ip access-group 2 out

interface e0/1

ip access-group 2 out

在ACL中any代表0.0.0.0 255.255.255.0（任何）

标准访问控制列表序号为1-99

标准访问控制列表也作为NAT转换中的PAT用途

用扩展访问控制列表

实现一:拒绝192.168.1.0/24网络的流量访问192.168.2.0/24网络，允许其他所有

R1配置

en

conf t

access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 101 ip permit any any

interface e0/1

ip access-group 101 out

实现二：拒绝192.168.1.0/24网络访问192.168.2.10主机的http访问，允许其他

R1配置

en

conf t

access-list 102 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.1 eq 80

access-list 102 permit ip any any

interface e0/1

ip access-group 102 out

扩展访问控制列表的序号是100-199

在扩展访问控制列表中有了源地址和目的地址的概念,以及带掩码的网络,和协议.eq表示协议中等于,lt表示小于,gt表示大于,neq表示不等于(后接协议的端口号,比如http默认为80端口)