1、访问控制列表的作用。

作用就是过滤实现安全性具网络可有管理性
一、过滤，经过路由器的数据包
二、控制增长的网络IP数据
2、访问控制列表的分类及其特性。

一、标准列表
只基于ip协议来工作，只能针对数据包种的源地址来做审核，由于无法确定具体的目的，所以在使用的过程中，应靠近目的地址，接口应为距目的地址最近的接口，方向为out。

访问控制别表具有方向性，是以路由器做参照物，来定义out或者in
out：是在路由器处理完以后，才匹配的条目
in：一进入路由器就匹配，匹配后在路由。

编号范围为：1-99
二、扩展列表
可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作，在工作的过程中常用在距源或组源最近的路由器上，
接口为距源最近的接口，方向为in，可以审核三层和四层的信息。

编号范围：100-199
如何判断应使用哪种类型的访问控制列表
标准：针对目的，允许或拒绝特定的源时，使用标准的（当目的唯一，具有多个源访问时。

）
扩展：针对源地址，允许或拒绝源去往特定的目的。

或者在涉及四层信息的审核时通常都会采用扩展列表。

（当源确定下来，具有单个源可有多个目的地址时。

）
编号的作用：
a,标识表的类型
b,列表的名字
1.访问列表最后一条都隐含拒绝所有，使用拒绝列表时，必须有条允许语句。

2.访问列表按顺序自上而下逐条匹配，当匹配后立即执行，不会继续匹配。

3.具有严格限制的条目应该放在列表前。

4.删除列表不能有选择删除，若no access-list X 的一个条目，则这个列表被删除。

5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核.
6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上.
7.当列表过滤掉一个数据包时，会返回给源一个不可达的icmp包，然后丢掉或过滤掉包
8.访问列表在应用中，标准的应靠近目的，而扩展则靠近源或组源。

9.当路由器调用了一个没有条目的列表，则执行列表隐含条目，deny any （拒绝所有）
10.在某个接口，某个方向上只能调用一个列表。

11.访问控制列表不能过滤自身产生的数据。

书写列表的步骤：
1.选择要应用的列表类型
2.选择要书写的路由器并书写列表
3.选择路由器的接口来调用列表实现过滤
4.选择应用列表的方向
标准访问控制列表的配置
1.回顾标准列表的特性
2.标准列表的配置语法（通配符）
配置的过程中，熟记配置规则
1.标准列表：只基于ip协议工作，控制数据包的源地址
应用过程中：距目的地址近的路由器和接口
2.配置列表的步骤
1）选择列表的类型
2）选择路由器（是要在哪个上路由器上配置列表）
3.）选择要应用的接口（在哪个接口上调用）
4）判断列表的方向性（in和out：相对路由器）
3.标准列表的配置语法
1）在全局模式下，书写规则
access-list 列表编号permit/deny 源网络地址源地址的通配符
列表的编号：1-99 和1300 - 1999
通配符：零所对应的位即为精确匹配位。

通常所讲的反子掩码
255.255.255.0 == 通配符=0.0.0.255
255.255.255.255
- 正掩码
———————————
反子网掩码
2）调用列表
控制数据包经过接口时过滤
在接口模式下
ip access-group 列表编号方向
主机ip 0.0.0.0 = host 主机ip
0.0.0.0 255.255.255.255 = any
实例：允许1.0 允许3。

2
1.拒绝1.0 拒绝3.2
access-list 1 deny 192.168.1.0 0.0.0.255
access-list 1 deny 192.168.3.2 0.0.0.0
2.拒绝1.0 允许1.2
1.可以审核数据包的源地址和目的地址及协议(端口)
2.编号范围为100-199.
3.针对源地址，允许源去往特定的目的，或去特定的目的做什么。

4.应用过程中，应靠近源或组源，方向为in
扩展列表的配置语法
第一，定义列表
access-list 列表编号permit/deny 大协议源地址源的通配符目的地址目的通配符eq 小协议或端口
列表编号：100-199
大协议：ip /tcp/udp/icmp/其他的路由协议
当:只针对源地址和目的地址来做策略时，大协议通常ip。

当：涉及到具体做什么的时候，才会选择其他协议。

eq：是等于的意思
小协议和端口：指的是一些应用协议，属于应用层，或者是传输层的端口，通常1-1024端口会对应一个具体应用协议
例如：http 80 ftp=20,21。