1 / 9ACL的使用ACL的处理过程：1、语句排序一旦某条语句匹配，后续语句不再处理。

2、隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包要点：ACL能执行两个操作：允许或拒绝。

语句自上而下执行。

一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。

如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。

一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。

如果在语句结尾增加deny any的话可以看到拒绝记录Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。

示例：编号方式标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

）允许172.17.31.222通过，其他主机禁止Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222禁止172.17.31.222通过,其他主机允许Cisco-3750(config)#access-list 1 deny host 172.17.31.222Cisco-3750(config)#access-list 1 permit any允许172.17.31.0/24通过,其他主机禁止Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255）禁止172.17.31.0/24通过,其他主机允许Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254Cisco-3750(config)#access-list 1 permit any二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。

例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。

）允许172.17.31.222访问任何主机80端口，其他主机禁止Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222（源）any（目标）eq www 允许所有主机访问172.17.31.222主机telnet（23）端口其他禁止Cisco-3750(config)#access-list 100（100-199、2000-2699）permit tcp any host 172.17.31.222 eq远程配置业务与方案承接 【价格实惠 帮您解决工作上的问题】/UL4GXf2 / 923接口应用（入方向）（所有ACL 只有应用到接口上才能起作用） Cisco-3750(config)#int g1/0/1Cisco-3750(config-if)#ip access-group 1 in （出方向out ）命名方式 一、标准建立标准ACL 命名为test 、允许172.17.31.222通过，禁止172.17.31.223通过，其他主机禁止Cisco-3750(config)#ip access-list standard test Cisco-3750(config-std-nacl)#permit host 172.17.31.222 Cisco-3750(config-std-nacl)#deny host 172.17.31.223建立标准ACL 命名为test 、禁止172.17.31.223通过，允许其他所有主机。

Cisco-3750(config)#ip access-list standard test Cisco-3750(config-std-nacl)#deny host 172.17.31.223 Cisco-3750(config-std-nacl)#permit any二、扩展建立扩展ACL 命名为test1，允许172.17.31.222访问所有主机80端口，其他所有主机禁止 Cisco-3750(config)#ip access-list extended test1Cisco-3750(config-ext-nacl)#permit tcp host 172.17.31.222 any eq www建立扩展ACL 命名为test1，禁止所有主机访问172.17.31.222主机telnet （23）端口，但允许访问其他端口Cisco-3750(config)#ip access-list extended test1Cisco-3750(config-ext-nacl)#deny tcp any host 172.17.31.222 eq 23 Cisco-3750(config-ext-nacl)#permit tcp any any接口应用（入方向）（所有ACL 只有应用到接口上才能起作用） Cisco-3750(config)#int g1/0/1Cisco-3750(config-if)#ip access-group test in （出方向out ）接口应用原则标准ACL ，的应用靠近目标地址 扩展ACL ，的应用靠近源地址网上资料：Cisco ACL 原理及配置详解什么是ACL?访问控制列表简称为ACL ，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包h t t p ://i t e m .t ao b a o.c o m /i t e m .h t m ?s p m =a 1z 10.5.w 4002-7938853340.14.W ES j K l &i d =20002611403技术博客 /1914756383/ QQ邮件订阅 /KUCqX23 / 9进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL 的支持了。

访问控制列表使用原则由于ACL 涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL 的配置。

在介绍例子前为大家将ACL 设置原则罗列出来，方便各位读者更好的消化ACL 知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL 中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL 语句。

3、默认丢弃原则在CISCO 路由交换设备中默认最后一句为ACL 中加入了DENY ANY ANY ，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL 是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

标准访问列表：访问控制列表ACL 分很多种，不同场合应用不同种类的ACL 。

其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP 包中的源IP 地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式访问控制列表ACL 分很多种，不同场合应用不同种类的ACL 。

其中最简单的就是标准访问控制列表，他是通过使用IP 包中的源IP 地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL 。

标准访问控制列表是最简单的ACL 。

它的具体格式如下：access-list ACL 号 permit|deny host ip 地址例如：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。

当然我们也可以用网段来表示，对某个网段进行过滤。

命令如下：access-list 10 deny 192.168.1.0 0.0.0.255通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。

为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO 规定在ACL 中用反向掩玛表示子网掩码，反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。

小提示：对于标准访问控制列表来说，默认的命令是HOST ，也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯，可以省去我们输入host 命令。

标准访问控制列表实例一远程配置业务与方案承接 【价格实惠 帮您解决工作上的问题】 /UL4GXf4 / 9我们采用如图所示的网络结构。

路由器连接了二个网段，分别为172.16.4.0/24，172.16.3.0/24。

在172.16.4.0/24网段中有一台服务器提供WWW 服务，IP 地址为172.16.4.13。

实例1：禁止172.16.4.0/24网段中除172.16.4.13这台计算机访问172.16.3.0/24的计算机。

172.16.4.13可以正常访问172.16.3.0/24。

路由器配置命令access-list 1 permit host 172.16.4.13 设置ACL ，容许172.16.4.13的数据包通过。

access-list 1 deny any 设置ACL ，阻止其他一切IP 地址进行通讯传输。

int e 1 进入E1端口。

ip access-group 1 in 将ACL 1宣告。

经过设置后E1端口就只容许来自172.16.4.13这个IP 地址的数据包传输出去了。

来自其他IP 地址的数据包都无法通过E1传输。