ACL:access(访问）control（控制）list（列表)，用来实现防火墙规则。

访问控制列表的原理
对路由器接口来说有两个方向
出：已经经路由器的处理，正离开路由器接口的数据包
入：已经到达路由器接口的数据包，将被路由器处理。
匹配顺序为：“自上而下，依次匹配”。默认为拒绝

访问控制列表的类型
标准访问控制列表：一般应用在out出站接口。建议配置在离目标端最近的路由上
扩展访问控制列表：配置在离源端最近的路由上，一般应用在入站in方向
命名访问控制列表：允许在标准和扩展访问列表中使用名称代替表号

一.标准呢访问控制列表

通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL。

具体格式为:access-list-number [permit | deny ] [sourceaddress][wildcard-mask]

access-list-number 为1-99 或者 1300-1999之间的数字

下面为配置标准ACL拓扑

实验要求 PC1无法与PC2通信

​具体配置如下：

R3(config)#access-list 1 deny 1.1.1.1   #拒绝1.1.1.1
R3(config)#access-list 1 permit any      #允许所有
R3(config)#int fa0/1                               
R3(config-if)#ip access-group 1 out      #应用到端口

二.扩展访问控制列表

扩展的IP访问列表检查数据包的源和目的地址，检查源和目的的端口号、检查协议类型（IP、TCP、UDP、ICMP或协议号）。

access-list-number 为100~199 、2000~2699之间的数字。

具体格式为：access-list number [permit | deny ] protocol +源地址+反码 +目标地址+反码+operator operan(It小于，gt大于，eq等于，neq不等于.具体可？)+端口号

下面为配置扩展ACL拓扑

要求PC2不能访问www.china.com 但是能够ping通，其他都正常

​

具体配置如下：

R3(config)#access-list 100 deny tcp 2.2.2.2 0.0.0.255 4.4.4.4 0.0.0.255 eq www   #禁止2.2.2.2 访问4.4.4.4的80 端口  
R3(config)#access-list 100 permit ip any any   #允许所有
R3(config)#int f0/1
R3(config-if)#ip access-group 100 in   #应用到端口