ACL访问控制列表规则建立、增加条目、删除条目.

①分类：标示流量进行特殊处理，通过过滤经过路由的数据包来管理IP流量②抓取路由分类：标准ACL:检查源地址，通常允许或者拒绝整个协议族扩展ACL：检查源地址和目的地址，通常允许或拒绝特定协议和应用程序标准ACL和扩展ACL的两种标示方法：编号ACL使用编号进行标示命名ACL使用描述性名称或者编号进行标示命名的ACL用字母数字字符串（名称）标识IP标准ACL和扩展ACL命名访问控制列表可以单独删除某条语句而不破坏整个列表的顺序；也可以在新添加的语句前面写入编号，把语句插入到指定的位置，当没有写入编号的时候默认添加到最末行。

标准ACL格式R1(config)#access-list access-list-number {remark|permit|deny} source source-wildcard [log]R1(config)#access-list 表号 策略 源地址表号：标准ACL范围，1-99、1300-1999。策略：permit(允许)；deny(拒绝)。源地址：指定IP网段：IP地址+通配符掩码；单个主机地址：host；任意地址：any。说明：①“remark”选项：用于给访问控制列表添加备注，增强列表的可读性。②源地址字段中：any选项表示任何IP地址，等同于0.0.0.0 255.255.255.255；host选项可代替掩码0.0.0.0。③可选参数“log”：用于对匹配的数据包生成信息性日志消息，并发送到控制台上。

扩展ACL格式R1(config)#access-list access-list-number {remark|permit|deny} protocol source [source-mask][operator operand] destination [destination-mask] [operator operand] [established] [log]R1(config)#access-list 表号 策略 协议 源地址 源端口 目的地址 目的端口表号：扩展ACL范围，100-199、2000-2699。策略：permit(允许)；deny(拒绝)。协议：检查特定协议的数据包，如TCP、UDP、ICMP、IP等。源地址：指定IP网段：IP地址+通配符掩码；单个主机地址：host；任意地址：any。源端口：可省略不写,lt、gt、eq、neq(小于、大于、等于、不等于)。目的地址：指定IP网段：IP地址+通配符掩码；单个主机地址：host；任意地址：any。目的端口：可省略不写,lt、gt、eq、neq(小于、大于、等于、不等于)。说明：“establishe”选项用于TCP协议，指示已建立的连接。

1、隐式拒绝所有,在列表中不可见2、ACL匹配从上到下3、ACL如果被匹配了后面就不会再管了ACL可以限制网络流量、提高网络性能；提供网络安全访问的基本手段；可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞，应用范围很广，如：路由过滤、Qos、NAT、Router-map、VTY等。3P原则：每种协议(Per Protocol)的每个接口(Per Interface)的每个方向(Per Direction)只能配置一个ACL。每种协议一个ACL：要控制接口上的流量，必须为接口上启用的每种协议定义相应的ACL。每个方向一个ACL：一个ACL只能控制接口上一个方向的流量。要控制入站和出站流量，必须分别定义两个ACL。每个接口一个ACL：一个ACL只能控制一个接口(如快速以太网F0/0)上的流量。

方向：in 对所有入站的数据匹配；out