ACL訪問控制列表規則創建、增長條目、刪除條目.

①分類：標示流量進行特殊處理，經過過濾通過路由的數據包來管理IP流量②抓取路由
分類：
標準ACL:檢查源地址，一般容許或者拒絕整個協議族
擴展ACL：檢查源地址和目的地址，一般容許或拒絕特定協議和應用程序
標準ACL和擴展ACL的兩種標示方法：
編號ACL使用編號進行標示
命名ACL使用描述性名稱或者編號進行標示
命名的ACL用字母數字字符串（名稱）標識IP標準ACL和擴展ACL
命名訪問控制列表能夠單獨刪除某條語句而不破壞整個列表的順序；也能夠在新添加的語句前面寫入編號，把語句插入到指定的位置，當沒有寫入編號的時候默認添加到最末行。

標準ACL格式
R1(config)#access-list access-list-number {remark|permit|deny} source source-wildcard [log]
R1(config)#access-list 表號 策略 源地址
表號：標準ACL範圍，1-9九、1300-1999。
策略：permit(容許)；deny(拒絕)。
源地址：指定IP網段：IP地址+通配符掩碼；單個主機地址：host；任意地址：any。
說明：
①「remark」選項：用於給訪問控制列表添加備註，加強列表的可讀性。
②源地址字段中：any選項表示任何IP地址，等同於0.0.0.0 255.255.255.255；host選項可代替掩碼0.0.0.0。
③可選參數「log」：用於對匹配的數據包生成信息性日誌消息，併發送到控制檯上。

擴展ACL格式
R1(config)#access-list access-list-number {remark|permit|deny} protocol source [source-mask]
[operator operand] destination [destination-mask] [operator operand] [established] [log]
R1(config)#access-list 表號 策略 協議 源地址 源端口 目的地址 目的端口
表號：擴展ACL範圍，100-19九、2000-2699。
策略：permit(容許)；deny(拒絕)。
協議：檢查特定協議的數據包，如TCP、UDP、ICMP、IP等。
源地址：指定IP網段：IP地址+通配符掩碼；單個主機地址：host；任意地址：any。
源端口：可省略不寫,lt、gt、eq、neq(小於、大於、等於、不等於)。
目的地址：指定IP網段：IP地址+通配符掩碼；單個主機地址：host；任意地址：any。
目的端口：可省略不寫,lt、gt、eq、neq(小於、大於、等於、不等於)。
說明：「establishe」選項用於TCP協議，指示已創建的鏈接。

一、隱式拒絕全部,在列表中不可見
二、ACL匹配從上到下
三、ACL若是被匹配了後面就不會再管了
ACL能夠限制網絡流量、提升網絡性能；提供網絡安全訪問的基本手段；能夠在路由器端口處決定哪一種類型的通訊流量被轉發或被阻塞，應用範圍很廣，如：路由過濾、Qos、NAT、Router-map、VTY等。
3P原則：
每種協議(Per Protocol)的每一個接口(Per Interface)的每一個方向(Per Direction)只能配置一個ACL。
每種協議一個ACL：要控制接口上的流量，必須爲接口上啓用的每種協議定義相應的ACL。
每一個方向一個ACL：一個ACL只能控制接口上一個方向的流量。要控制入站和出站流量，必須分別定義兩個ACL。
每一個接口一個ACL：一個ACL只能控制一個接口(如快速以太網F0/0)上的流量。

方向：in 對全部入站的數據匹配；out 對全部出站的數據進行匹配。

根據下面網絡圖配置好IP：

首先要使整個網絡互通。前面講過的多種方法均可以實現互通。
         一、rip 
         二、eigrp 
         三、ospf
         四、靜態路由
         配個靜態路由比較省事。
         R1#
         ip route 0.0.0.0 0.0.0.0 fa 0/0靜態路由指定fa 0/0端口
         或(ip route 0.0.0.0 0.0.0.0 12.1.1.2默認路由下一跳12.1.1.2)
         固然也能夠把須要訪問的網段192.160.4.0 5.0 6.0 23.1.1.0 都作靜態路由，
         這樣比較複雜，由於只有一個出口，直接作一個就能夠了。
         R3#
         ip route 0.0.0.0 0.0.0.0 fa 1/0
         或(ip route 0.0.0.0 0.0.0.0 23.1.1.2)

         R2#

ip route 192.160.4.0 255.255.255.0 23.1.1.3
要訪問192.160.4.0網段就交給23.1.1.3路由.
ip route 192.160.5.0 255.255.255.0 23.1.1.3
ip route 192.160.6.0 255.255.255.0 23.1.1.3
ip route 192.160.1.0 255.255.255.0 12.1.1.1
ip route 192.160.2.0 255.255.255.0 12.1.1.1
ip route 192.160.3.0 255.255.255.0 12.1.1.1
這樣的話全網就能夠通了。

例1：拒絕特定主機如192.160.1.2
R3#
access-list 1 deny 192.160.1.2 0.0.0.0
(access-list 1 deny host 192.160.1.2)
拒絕1.2主機訪問路同
access-list 1 permit 0.0.0.0 255.255.255.255
(access-list 1 permit any)隱式拒絕全部，在列表中不可見、因此必須加上容許全部主機訪問.
interface fa 1/0
ip access-group 1 in
發現192.160.1.2被拒絕了，沒法ping 通4.0 5.0 6.0網段，而192.160.1.1還能夠連通。

例2：拒絕特定子網192.160.2.0
R3#
access-list 1 deny 192.160.2.0 0.0.0.255反掩碼
access-list 1 permit any
interface fa 1/0
ip access-group 1 in
發現192.160.2.0網段被拒絕了，沒法ping 通4.0 5.0 6.0網段，而192.160.1.1等還能夠連通。

例3:拒絕從192.160.3.0網段到192.160.4.0網段訪問的telnet流量，容許全部其它流量
R3#
no access-list 1刪除上面的list 1 全部ACL規則
access-list 101 deny tcp 192.160.3.0 0.0.0.255 192.160.4.0 0.0.0.255 eq 23
access-list 101 permit ip any any
interface fa 1/0
ip access-group 101 in
發現3.0網段沒法訪問4.0網段的telnet服務了,可是能夠ping 通。
而其它網段能夠。
例4:拒絕從192.160.2.0網段ping通192.160.4.0網段，容許全部其它服務
access-list 102 deny icmp 192.160.1.0 0.0.0.255 192.160.4.0 0.0.0.255
access-list 102 permit ip any any
interface fa 1/0
ip access-group 102 in

例5:拒絕192.160.4.0網段訪問外部網絡，容許訪問特定主機192.160.1.2.
R3#
configure terminal
ip access-list extended deny4.0建立擴展ACL命名爲deny4.0
permit ip 192.160.4.0 0.0.0.255 192.160.1.2 0.0.0.0容許4.0訪問1.2
deny ip 192.160.4.0 0.0.0.255 any拒絕4.0訪問外面全部
permit ip any any 容許全部全部
interface fa 1/0進入端口
ip access-group deny4.0 out 對deny4.0 出站數據進行匹配
end
show ip access-list 查看ACL表

如今要3.1能夠ping通4.0、而不能有其它服務;3.2能夠telnet 4.0但不能有其它服務;3.0網段其它均不能訪問，容許1.2 能夠telnet 4.0網段,但不容許其它服務.
R3#
show ip access-list 查看ACL表
Router#show ip access-list
Extended IP access list deny4.0
10 permit ip 192.160.4.0 0.0.0.255 host 192.160.1.2 (8 match(es))
20 deny ip 192.160.4.0 0.0.0.255 any (20 match(es))
30 permit ip any any
configure terminal
ip access-list extended deny4.0進入名爲deny4.0的ACL
no 10刪除序列號爲10的這一條
Router#show ip access-lists
Extended IP access list deny4.0
20 deny ip 192.160.4.0 0.0.0.255 any (187 match(es))
30 permit ip any any (1 match(es))
configure terminal
ip access-list extended deny4.0進入名爲deny4.0的ACL
5 permit icmp 192.160.4.0 0.0.0.255 host 192.160.3.1 容許3.1能ping通4.0網段，序號爲5
10 permit tcp 192.160.4.0 0.0.0.255 eq 23 host 192.160.3.2容許3.2能telnet 4.0網段，序號爲10
15 permit tcp 192.160.4.0 0.0.0.255 eq 23 host 192.160.1.2容許1.2能telnet 4.0網段，序號爲15

Router#show access-lists

Extended IP access list deny4.0
5 permit icmp 192.160.4.0 0.0.0.255 host 192.160.3.1
10 permit tcp 192.160.4.0 0.0.0.255 eq telnet host 192.160.3.2
15 permit tcp 192.160.4.0 0.0.0.255 eq telnet host 192.160.1.2 (2 match(es))
20 deny ip 192.160.4.0 0.0.0.255 any (216 match(es))
30 permit ip any any (1 match(es))
發現己經從新加入了ACL

R3#
ip access-list resequence deny4.0 100 20
100開始，20遞增法從新排列序號
Router#show access-lists

Extended IP access list deny4.0
100 permit icmp 192.160.4.0 0.0.0.255 host 192.160.3.1
120 permit tcp 192.160.4.0 0.0.0.255 eq telnet host 192.160.3.2
140 permit tcp 192.160.4.0 0.0.0.255 eq telnet host 192.160.1.2 (2 match(es))
160 deny ip 192.160.4.0 0.0.0.255 any (216 match(es))
180 permit ip any any (1 match(es))

<<刪除ACL 條目備註：
show ip access-lists 查看ACL表
ip access-list standard(extended) 102進入ACL標準或擴展102
no 10刪除第10（前面數字序列號）條
no 20刪除第20（前面數字序列號）條>>

如今檢測剛配置的狀況，發現都是按照要求來的，3.1能夠ping通4.200，可是沒法遠程鏈接；而3.二、1.2能夠遠程鏈接4.200，但沒法ping通；其它沒有配置的IP 和網
段均沒法訪問4.0網段。而其它網段都是正常的。

用標準的ACL控制vty訪問
#access-list access-list-number {in|out}
限定特定的VTY與ACL地址之間的入站或出站

#access-list 10 permit 192.168.4.0 0.0.0. 255
隱式拒絕全部
#line vty 0 4
#access-class 10 in
僅容許網絡192.168.4.0 0.0.0.255 中的主機鏈接到路由器的VTY
#show IPaccess-lists

ip access-group用在接口下；access-class用在VTY線下
access-class命令前面沒有「ip」

Router(config)#line vty 0 4
Router(config-line)#password xxwj
Router(config-line)#enable secret xxwj
Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#exit
Router(config)#acc
Router(config)#access-list 10 permit 192.160.4.0 0.0.0.255
容許4.0訪問、隱式拒絕全部.
Router(config)#line vty 0 4進入虛擬端口
Router(config-line)#acc
Router(config-line)#access
Router(config-line)#access-class 10 in
僅容許網絡192.168.4.0 0.0.0.255 中的主機鏈接到路由器的VTY
Router(config-line)#hostname R3 路由改名爲R3

經常使用協議及端口號：ICMP協議 3層 網絡控制消息協議(測試網絡連通性)TCP協議：HTTP 80 超文本傳輸協議(www服務)FTP-Data 20 文件控制鏈接FTP 21 文件傳輸協議SMTP 25 簡單郵件傳輸協議(發送郵件)POP3 110 第三版郵局協議(接收郵件)TELNET 23 遠程登陸協議SSH 22 遠程登陸協議IMAP 143 交互郵件訪問協議SSL 、TSL 443 提供安全及數據完整性的一種安全協議HTTPS 443 超文本傳輸安全協議MSSQL 1433 tcp 1433 udpgopher 70finger 79UDP協議：TFTP 69 簡單文件傳輸協議DNS 53 域名解析協議DHCP 67 、 68 動態主機配置協議SNMP 161 簡單網絡管理協議