二、访问处理过程
（4）访问控制列表中的deny和permit
全局access-list命令的通用形式：
Router(config)#access-listaccess-list-number{permit|deny}{testconditions}
这里的语句通过访问列表表号来识别访问控制列表。此号还指明了访问列表的类别:
谢谢
一、简介
ACL技术在路由器中被广泛采用，它是一种基于包过滤的流控制技术。控制列表通过 把源地址、目的地址及端口号作为数据包检查的基本元素，a并可以规定符合条件的数据 包是否允许通过。
一、简介
ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出 网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内 部资源的访问能力，进而来保障这些资源的安全性。
二、访问处理过程
创建访问控制列表 access-list1deny172.16.4.130.0.0.0(标准的访问控制列表) access-list1permit172.16.0.00.0.255.255(允许网络172.16.0.0)的所有流量通过 access-list1permit0.0.0.0255.255.255.255(允许任何流量通过，如过没有只允许 172.16.0.0 的流量通过)
二、访问处理过程
〖访问控制列表的通配符〗 0.0.0.0255.255.255.255=====any Router(config)#access-list1permit172.30.16.290.0.0.0 ======Router(config)#access-list1permithost172.30.16.29
二、访问处理过程
2.应用到接口E0的出口方向上：
interfacefastehernet0/0 ipaccess-group1out(把ACL绑定到接口) 删除一个访问控制列表，首先在接口模式下输入命令： noipaccess-group 然后在全局模式下输入命令 noaccess-list 并带上它的全部参数
*若最后没有任一语句匹配，则路由器根据默认处理方式丢弃该数据 包。
*基于ACL的测试条件，数据包要么被允许，要么被拒绝。
二、访问处理过程
（3）访问控制列表的出与入
使用命令ipaccess-group，可以把访问控制列表应用到某一个接口上。 in或out 指明访问控制列表是对近来的，还是对出去的数据包进行控制 。
二Hale Waihona Puke 访问处理过程1、路由器对访问控制列表的处理过程：
（1）如果接口上没有ACL，就对这个数据包继续进行常规处理 。 （2）如果对接口应用了访问控制列表，与该接口相关的一系列访问控制列表语句组合将会检 测它：
二、访问处理过程
*若第一条不匹配，则依次往下进行判断，直到有一条语句匹配，则 不再继续判断。 路由器将决定该数据包允许通过或拒绝通过 。
【在接口的一个方向上，只能应用1个access-list】
二、访问处理过程
路由器对进入的数据包先检查入访问控制列表，对允许传输的数据 包才查询路由表而对于外出的数据包先检查路由表，确定目标接口后才 检查看出访问控制列表。应该尽量把放问控制列表应用到入站接口，因 为它比应用到出站接口的效率更高将要丢弃的数据包在路由器惊醒了路 由表查询处理之前就拒绝它 。