标准访问控制列表配置

标准IP访问控制列表的配置及应用一、拓扑结构图；二、访问控制列表的概念；1．访问控制列表(Access Control List，ACL)是应用在路由器（或三层交换机）端口上的控制列表。

ACL可以允许（permit）或拒绝（deny）进入或离开路由器的数据包（分组），通过设置可以允许或拒绝网络用户使用路由器的某些端口，对网络系统起到安全保护作用。

访问控制列表（ACL）实际上是一系列允许和拒绝匹配准则的集合。

2．IP访问控制列表可以分为两大类：标准IP访问控制列表，只对数据包的源IP地址进行检查。

其列表号为1~99或者1300~1999。

扩展IP访问控制列表，对数据包的源和目标IP地址、源和目标端口号等进行检查，可以允许或拒绝部分协议。

其列表号为100~199或2000~2699。

3．访问控制列表对每个数据包都以自上向下的顺序进行匹配。

如果数据包满足第一个匹配条件，那么路由器就按照该条语句所规定的动作决定是拒绝还是允许；如果数据包不满足第一个匹配条件，则继续检测列表的下一条语句，以此类推。

数据包在访问控制列表中一旦出现了匹配，那么相应的操作就会被执行，并且对此数据包的检测到此为止。

后面的语句不可能推翻前面的语句，因此访问控制列表的过滤规则的放置顺序是很讲究的，不同的放置顺序会带来不同的效果。

三、技术原理；假设某公司的经理部，销售部和财务部分别属于不同的网段，出于安全考虑，公司要求经理部的网络可以访问财务部，而销售部无法访问财务部的网络，其他网络之间都可以实现互访。

访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中，即为距离被保护网络最接近的路由器上。

配置标准IP访问控制列表：1.定义标准IP访问控制列表；Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。

标准ACL的工作原理及应用1. 什么是标准ACL标准访问控制列表（Access Control List，简称ACL）是网络设备（如路由器、交换机）中一个用于控制网络流量的功能。

它通过匹配数据包的源地址来决定是否允许数据包通过设备。

标准ACL是一种基本的ACL类型，它只能根据源IP地址来控制流量，而不能根据目标IP地址、协议类型、端口号等进行控制。

2. 标准ACL的工作原理标准ACL通过配置设备的规则来实现对数据包的控制。

设备会按照这些规则逐一匹配数据包，并根据匹配结果来决定是否通过。

下面是标准ACL的工作原理的简要步骤：•当数据包进入设备时，设备会检查它的源IP地址。

•设备会按照事先配置好的规则进行逐一匹配。

每个规则通常包含一个IP地址（或地址段）和一个操作（如允许或拒绝）。

•如果数据包的源IP地址与某个规则匹配，则设备会根据规则的操作决定如何处理数据包。

•如果数据包的源IP地址没有与任何规则匹配，则设备会使用默认的行为决定如何处理数据包。

3. 标准ACL的应用场景标准ACL通常用于限制特定源IP地址的访问权限，常见的应用场景包括：3.1 限制内部设备的访问可以使用标准ACL来限制内部网络中某些设备对外部网络的访问权限。

例如，可以阻止某个局域网中的设备访问特定的互联网地址。

3.2 限制外部网络对内部设备的访问标准ACL还可用于限制外部网络对内部设备的访问。

通过配置标准ACL，可以阻止特定的外部IP地址访问内部网络中的设备。

3.3 过滤出某特定流量标准ACL还可以用于过滤出某特定的流量。

例如，通过配置标准ACL，可以只允许某个特定的IP地址通过设备，并拒绝其他所有IP地址的访问。

3.4 限制特定协议流量虽然标准ACL主要根据源IP地址进行控制，但也可以结合其他条件来限制特定协议的流量。

例如，可以通过使用扩展ACL和标准ACL的组合来实现根据协议类型限制流量的功能。

4. 配置标准ACL的步骤配置标准ACL大致包括以下几个步骤：1.进入设备的配置模式。

13。

标准访问列表的实现一．实训目的1。

理解标准访问控制列表的概念和工作原理.2。

掌握标准访问控制列表的配置方法.3。

掌握对路由器的管理位置加以限制的方法.二．实训器材及环境1．安装有packet tracer5.0模拟软件的计算机。

2．搭建实验环境如下：三．实训理论基础1．访问列表概述访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作(允许或禁止）两个内容。

访问列表应用在路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。

数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。

访问控制列表可以限制网络流量,提高网络性能,控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段.2．访问列表类型访问列表可分为标准IP访问列表和扩展IP访问列表。

标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。

扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。

3．ACL的相关特性每一个接口可以在进入（inbound)和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL。

ACL语句包括两个动作,一个是拒绝（deny）即拒绝数据包通过，过滤掉数据包，一个是允许(permit）即允许数据包通过，不过滤数据包。

在路由选择进行以前，应用在接口进入方向的ACL起作用。

在路由选择决定以后,应用在接口离开方向的ACL起作用。

每个ACL的结尾有一个隐含的“拒绝的所有数据包(deny all）”的语句.4．ACL转发的过程5．IP地址与通配符掩码的作用规32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配,通配符掩码为1的位所对应的IP地址位不必匹配。

标准acl的工作原理一、什么是ACL（访问控制列表）访问控制列表（Access Control Lists，ACL）是一种广泛应用于网络设备（如路由器和交换机）的配置工具，用于控制网络流量和权限。

它们在许多网络环境中起着至关重要的作用，包括网络安全、流量管理、设备访问控制等。

标准ACL（Standard ACL）是一种基本的ACL配置，用于定义一系列规则，这些规则定义了哪些数据包可以或不可以通过设备。

这些规则基于源地址、目标地址、端口号、协议类型等因素进行匹配，并根据匹配结果进行相应的动作（如允许、拒绝、重定向等）设置。

标准ACL的工作原理可以概括为以下几个步骤：1. 匹配规则：标准ACL首先根据规则中的条件（如源地址、目标地址、端口号等）对进入和出站的流量进行匹配。

只有当数据包符合所有规则的条件时，才会进一步评估下一个步骤。

2. 动作设置：一旦数据包被匹配，ACL会根据规则设置相应的动作。

这些动作可以是允许通过（允许进入或出站流量）、拒绝通过（阻止进入或出站流量）或重定向到其他网络。

3. 规则的优先级：在标准ACL中，规则的优先级决定了数据包的处理顺序。

一般而言，较新的规则具有更高的优先级，当多个规则匹配同一个数据包时，优先级高的规则会优先处理。

4. 匹配失败的处理：如果数据包无法匹配任何ACL规则，那么通常会根据设备的默认策略进行处理，如丢弃数据包或将其发送到其他网络。

三、标准ACL的配置示例以下是一个简单的标准ACL配置示例，用于限制特定IP地址的访问：```yamlaccess-list 10 deny 192.168.0.1 anyaccess-list 10 permit any any```在这个例子中，规则10定义了两个动作：禁止IP地址为192.168.0.1的数据包进入或离开网络，同时允许所有其他数据包通过。

这个规则的优先级高于其他未定义的规则。

四、标准ACL的优点和缺点标准ACL的主要优点是可以灵活地控制网络流量，通过定义各种规则来满足特定的安全需求。

Cisco 路由ACL（访问控制列表）的配置标准ACL Router(config)#access-list 1-99 permit/deny 192.168.1.1（源IP） 0.0.0.255（反码） Router(config)#interface f0/0 Router(config-if)#ip access-group 1-99 out/in 扩展ACL Router(config)#access-list 100-199 permit/deny tcp （协议类型） 192.168.1.1（源IP） 0.标准ACLRouter(config)#access-list 1-99 permit/deny 192.168.1.1（源IP） 0.0.0.255（反码）Router(config)#interface f0/0Router(config-if)#ip access-group 1-99 out/in扩展ACLRouter(config)#access-list 100-199 permit/deny tcp（协议类型） 192.168.1.1（源IP） 0.0.0.255（源IP反码） 172.16.0.1（目标IP） 0.0.255.255（目标IP反码） eq ftp/23 端口号Router(config)#interface f0/0Router(config-if)#ip access-group 100-199 out/in基于时间的ACL设定路由器的时间:#clock set {hh:mm:ss} {data} {month} {year}Router(config)#time-range wangxin （定义时间名称）以下有两种：1.absouluterRouter(config-time-range)#absouluter指定绝对时间范围 start hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）end hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）如果省略start及其后面的时间，则表示与之相联系的permit或deny语句立即生效，并一直作用到end处的时间为止。

ip标准访问控制列表的规则序号范围IP标准访问控制列表（StandardAccessControlList，简称SACL）是一种按照特定格式编制的访问控制规则，可以实施不同程度的访问控制方案。

SACL的核心在于按照规则序号进行序列化编码，从而将访问控制规则的设置一步步的添加、修改、删除进行有序的操作。

规则序号是访问控制规则的主要分类标准。

IP标准访问控制列表规则序号范围是0-99，每条规则最多可以有99条。

每条规则序号代表一个确切的意义，每条规则序号的设置及其排列顺序决定了访问控制规则的最终形成，是进行访问控制的核心依据。

在IP标准访问控制列表规则数量上，SACL一般可以设置接近100条规则，但是有时候当用户尝试设置规则超过99条时，系统会出现错误。

这是因为SACL规则序号范围是0-99，用户最多只能设置99条规则，而超过99条则会超出序号范围，导致系统报错。

IP标准访问控制列表规则序号设置范围一定要严格遵守，以避免不必要的错误发生，特别是当用户尝试设置规则超过99条时，要特别注意不要超出序号范围，以免出现意料之外的系统错误。

同时，用户在设置SACL时，应当特别注意规则序号的顺序，以免出现访问控制规则实现时规则未正确生效的情况。

SACL的规则及其序号设置是路由网络中最重要的一项功能，它控制了数据包的流向，能够有效的实施网络的安全管理，有效的提升网络的安全性。

因此，设置SACL时，一定要严格按照规则序号范围，其范围为0-99，每条规则最多可以设置99条，使用者一定要注意规则序号的设置顺序，以免出现访问控制规则未正确生效等情况。

同时，当用户尝试设置规则超过99条时，一定要注意不要超出序号范围，以免出现意料之外的系统错误。

acl访问控制列表规则ACL（Access Control List）访问控制列表是网络设备中一种非常重要的安全机制，用于控制网络流量的进出。

ACL规则是一组用于过滤网络流量的条件和动作。

本文将介绍ACL规则的概述、常见的ACL规则类型、ACL规则的格式以及编写ACL规则时需要考虑的一些关键因素。

ACL规则概述：ACL是一种在网络设备中实现流量过滤和网络访问控制的方法。

它根据预先定义的规则，对网络流量的源IP地址、目标IP地址、端口号等进行匹配，然后根据匹配结果决定是否允许流量通过。

通过配置ACL规则，网络管理员可以控制哪些流量可以进入网络，哪些流量可以离开网络，以增加网络的安全性和性能。

常见的ACL规则类型：1. 标准ACL规则：基于源IP地址来过滤流量，仅可以控制流量的进入。

2. 扩展ACL规则：可以基于源IP地址、目标IP地址、协议、端口号等多个条件来过滤流量，可以控制流量的进入和离开。

3. 命名ACL规则：可以给ACL规则设置名称，方便管理和维护。

ACL规则格式：ACL规则的格式通常包括以下几个部分：1. 序号：每条ACL规则都有一个唯一的序号，用于确定规则的优先级。

序号从1开始，按照递增的顺序执行规则。

2. 条件：ACL规则的条件部分描述了要匹配的流量的属性。

常见的条件包括源IP地址、目标IP地址、协议、端口号等。

3. 动作：ACL规则的动作部分描述了匹配条件后执行的操作。

常见的动作包括拒绝（Deny）和允许（Permit）。

编写ACL规则的关键因素：1. 流量方向：明确规定ACL规则是用于控制流量的进入还是离开。

2. 条件的选择：根据实际需求选择合适的条件，例如源IP地址、目标IP地址、协议、端口号等。

3. 规则的顺序：根据实际需求合理排序ACL规则，确保执行的顺序正确。

4. 规则的优先级：根据ACL规则的序号确定规则的优先级，越小的序号优先级越高。

5. 记录和审查：记录ACL规则的变更和审查规则的有效性是一个重要的管理步骤。

标准访问控制列表1 实验目标✓在路由器上配置标准访问控制列表✓保护路由的Telnet安全2 试验要求✓定义访问控制列表20✓将访问控制列表绑定到VTY端口2.1试验拓扑3 实验过程：3.1在Router0上定义标准访问控制列表Router>Router>enRouter#confi tRouter(config)#line vty 0 4Router(config-line)#password aaa 配置Telnet密码Router(config-line)#exitRouter(config)#access-list 20 permit 192.168.1.3 0.0.0.0 定义访问控制Router(config)#line vty 0 4Router(config-line)#access-class 20 in将访问控制列表绑定VTY端口Router(config-line)#注意：在接口配置绑定访问控制列表，Router(config-if)#ip access-group 10 out 3.2查看访问控制列表Router#show access-listsStandard IP access list 20permit host 192.168.1.2Router#4 验证4.1在PC3上测试到Router0的telnetPacket Tracer PC Command Line 1.0PC>telnet 192.168.1.1Trying 192.168.1.1 ...User Access VerificationPassword: Telnet成功Router>Router>4.2在PC2上测试到Router0的TelnetPacket Tracer PC Command Line 1.0PC>telnet 192.168.1.1Trying 192.168.1.1 ...% Connection refused by remote host 拒绝PC>。

ACL的使用ACL的处理过程：1、语句排序一旦某条语句匹配，后续语句不再处理。

2、隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包要点：ACL能执行两个操作：允许或拒绝。

语句自上而下执行。

一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。

如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。

一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。

如果在语句结尾增加deny any的话可以看到拒绝记录Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。

示例：编号方式标准的ACL使用1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

）允许172.17.31.222通过，其他主机禁止Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许Cisco-3750(config)#access-list 1 deny host 172.17.31.222Cisco-3750(config)#access-list 1 permit any允许172.17.31.0/24通过,其他主机禁止Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255）禁止172.17.31.0/24通过,其他主机允许Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254Cisco-3750(config)#access-list 1 permit any二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。

ACL 是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，可以对网络访问进行控制，有效保证网络的安全运行。

ACL 是一个有序的语句集，每一条语句对应一条特定的规则(rule)。

每条rule包括了过滤信息及匹配此rule时应采取的动作。

Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。

根据不同的标准，ACL可以有如下分类：根据过滤信息：ip access-list （三层以上信息），mac access-list （二层信息），mac-ip access-list （二层以上信息）。

根据配置的复杂程度：标准(standard)和扩展(extended)，扩展方式可以指定更加细致过滤信息。

根据命名方式：数字(numbered)和命名(named)要求：PC1(192.168.10.1)不能访问服务器server1(192.168.20.1)和server2(192.168.20.2)，PC2(192.168.10.2)可以访问。

PC1接在端口1上，PC2接在端口2上；server1接在端口23上，server2接在端口24上。

switch#confSwitch(config)# ip access-list standard pc1toserver1# deny host-source 192.168.10.1#exit#int e0/0/23#ip access-group pc1toserver1 outSwitch(config)# ip access-list standard pc1toserver2# deny host-source 192.168.10.1#exit#int e0/0/24#ip access-group pc1toserver2 out。

标准访问控制列表1 实验目标✓在路由器上配置标准访问控制列表✓能够确定标准访问控制列表绑定的路由器接口2 试验要求✓创建标准访问控制列表10✓只允许市场部访问Internet，但PC7例外✓销售部财务部市场部三个部门之间需要相互访问✓请考虑访问控制列表放在Router0的那个接口?2.1试验拓扑3 实验过程：3.1在Router0上定义标准访问控制列表Router>Router>enRouter#confi tRouter(config)#access-list 10 deny 192.168.2.2 0.0.0.0Router(config)#access-list 10 permit 192.168.2.0 0.0.0.255Router(config)#Router(config)#interface serial 3/0Router(config-if)#ip access-group 10 out 将访问控制列表绑定到S3/0出口3.2查看访问控制列表Router#show access-listsStandard IP access list 10deny host 192.168.2.2permit 192.168.2.0 0.0.0.255Router#3.3查看当前配置Router#show running-configBuilding configuration...Current configuration : 665 bytesversion 12.2no service password-encryptionhostname Routerip ssh version 1interface FastEthernet0/0ip address 192.168.0.1 255.255.255.0duplex autospeed autointerface FastEthernet1/0ip address 192.168.1.1 255.255.255.0duplex autospeed autointerface FastEthernet2/0ip address 192.168.2.1 255.255.255.0duplex autospeed autointerface Serial3/0ip address 172.16.0.1 255.255.255.252ip access-group 10 out 可以看到Serial3/0接口绑定的访问控制列表clock rate 64000ip classlessip route 0.0.0.0 0.0.0.0 172.16.0.2access-list 10 deny host 192.168.2.2 可以看到访问控制列表access-list 10 permit 192.168.2.0 0.0.0.255no cdp runline con 0line vty 0 4loginend4 测试访问控制列表4.1在PC7上Packet Tracer PC Command Line 1.0PC>ping 10.0.0.3Pinging 10.0.0.3 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 10.0.0.3:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), PC>4.2在PC4上Packet Tracer PC Command Line 1.0PC>ping 10.0.0.3Pinging 10.0.0.3 with 32 bytes of data:Request timed out.Reply from 10.0.0.3: bytes=32 time=21ms TTL=126Reply from 10.0.0.3: bytes=32 time=19ms TTL=126Reply from 10.0.0.3: bytes=32 time=22ms TTL=126Ping statistics for 10.0.0.3:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds:Minimum = 19ms, Maximum = 22ms, Average = 20ms PC>Ip access-group 10 outACL列表的顺序应该先配置具体的网段的默认拒绝所有Access-list 10 permit anyAny=0.0.0.0 255.255.255.255任何一个地址都满足Host 192.168.1.2=192.168.1.2 0.0.0.0使用标准的ACL 保护路由器的访问离目标网络较近的路由器上将扩展的ACL放到距离源网较近的路由器上。

标准访问控制列表配置实训一、实验目的本实训旨在让学生掌握标准访问控制列表的配置方法，理解其工作原理，并能够根据实际需求进行正确的配置。

二、实验设备1. 路由器或交换机2. 计算机或笔记本3. 网络线4. 模拟软件（如GNS3）三、实验步骤与配置示例步骤1：设备连接与基本配置1. 在模拟软件GNS3中，拖拽一个路由器图标并连接到两台计算机，分别命名为Router1和Router2。

2. 启动Router1和Router2，并进入命令行界面。

3. 对两台设备进行基本配置，包括设置主机名、IP地址等。

示例：Router1：Router>enableRouter#configure terminalRouter(config)#hostname Router1Router1(config)#ip dhcp pool pool1Router1(config)#ip dhcp pool pool2Router1(config)#interface GigabitEthernet0/0Router1(config-if)#ip address 192.168.1.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#interface GigabitEthernet0/1Router1(config-if)#ip address 192.168.2.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254步骤2：配置标准访问控制列表（ACL）1. 在Router1上创建一个标准访问控制列表（ACL），允许源IP为192.168.1.0/24的数据包访问目标IP为192.168.2.0/24的数据包。

任务12 配置标准访问控制列表（ACL）一、【技术原理】ACL 定义了一组规则，用于对进入入站接口的数据包、通过路由器中继的数据包，以及从路由器出站接口输出的数据包施加额外的控制。

入站ACL 传入数据包经过处理之后才会被路由到出站接口。

入站ACL 非常高效，如果数据包被丢弃，则节省了执行路由查找的开销。

当测试表明应允许该数据包后，路由器才会处理路由工作。

最后一条隐含的语句适用于不满足之前任何条件的所有数据包。

这条最后的测试条件与这些数据包匹配，并会发出“拒绝”指令。

此时路由器不会让这些数据进入或送出接口，而是直接丢弃它们。

最后这条语句通常称为“隐式deny any 语句”或“拒绝所有流量”语句。

由于该语句的存在，所以ACL 中应该至少包含一条permit 语句，否则ACL 将阻止所有流量。

二、【任务描述】某公司财务部、销售部分属同一个路由器下两个不同的网段，用来两个部门可以互相通信，现要求销售部不能访问财务部的计算机，在路由器上作适当的配置，满足上述要求。

三、【任务实现】1、规划拓扑结构实验教学要求所需的最简设备：1台路由器、2台PC机、连线。

运行Packet Tracer，在Packet Tracer桌面的工作区绘制网络拓扑图，将选择的设备和线缆拖动到工作区里。

如网络拓扑图所示。

2、完成ACL的配置（1）路由器：Router>enableRouter#configure terminal1）配置端口Router(config)#interface fastEthernet 0/0Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#interface fastEthernet 0/1Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exit2）创建访问列表Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255!建立标准访问列表，编号取值：1~99。

网络管理从入门到精通（第3版）368Show ip interface 命令提供了接口配置的IP 指定方面的信息。

它被专用来查询应用于接口的数据包过滤。

它并不显示访问控制列表的内容，而只有访问控制列表的号码，如图10-7所示。

图10-7 验证端口的IP 配置10.4 配置标准访问控制列表的注意事项前面三节介绍了标准、扩展和命名访问控制列表，本节介绍应用访问控制列表的一些注意事项。

1．标准列表要应用在靠近目标端标准访问控制列表究竟用在哪台设备上，用在哪个接口上，还是用在哪个方向上是有区别的。

标准的访问控制列表只能针对源地址进行控制，10.1.2节中把12.1.1.1作为源地址，R3就成为目标地址，数据流的方向就是从左到右，如图10-8所示。

从R1到R3，数据包共经过了4个接口，如果用在R1的S1/1端口，方向应该是out ；如果用在R2的S1/0端口，方向应该是in ；如果用在R2的S1/1端口，方向应该是out ；如果用在R3的S1/0端口，方向应该是in 。

接下来分析把列表分别用在4个端口上的区别，可以通过实验来验证下面的结论。

如果用在R1的S1/1端口，方向是out 。

结果将不起作用，原因是访问控制列表仅对穿越路由器的数据包进行过滤，对本路由器起源的数据包不进行过滤。

图10-8 数据流的方向如果用在R2的S1/0端口，方向是in 。

结果起作用，R1不能访问R3了，可R1也不能访问R2了，因为标准访问控制列表只能针对源地址，当R1访问R2的数据包进入路由器R2的S1/0端口时，源地址不符合，数据包被丢弃。

如果用在R2的S1/1端口，方向是out 。

结果正确。

基本访问控制列表编号范围一、什么是基本访问控制列表（ACL）？基本访问控制列表（ACL）是一种用于控制网络中资源访问权限的机制。

通过ACL，网络管理员可以指定允许或禁止特定用户或用户组对资源的访问。

ACL可以应用于路由器、交换机、防火墙等网络设备，以实现对网络流量的精细控制。

二、ACL编号范围ACL的编号范围决定了ACL的优先级顺序，较低编号的ACL将优先匹配和应用于网络流量。

在不同的网络设备上，ACL的编号范围可能会有所不同。

下面是一些常见的ACL编号范围示例：2.1 路由器ACL编号范围在路由器上，ACL通常应用于接口或路由器的特定功能，如路由、NAT等。

对于路由器ACL，一般有两种编号范围：1.标准ACL编号范围：1-99或1300-1999。

标准ACL只能根据源IP地址进行过滤，不能根据目的IP地址、端口号等进行过滤。

2.扩展ACL编号范围：100-199或2000-2699。

扩展ACL可以根据源IP地址、目的IP地址、端口号等多个条件进行过滤。

2.2 交换机ACL编号范围在交换机上，ACL通常应用于虚拟局域网（VLAN）接口或交换机的特定功能，如虚拟局域网间路由（VLAN Routing）、访问控制等。

对于交换机ACL，一般有以下编号范围：1.标准ACL编号范围：1-99。

与路由器ACL的标准ACL相同，只能根据源IP地址进行过滤。

2.扩展ACL编号范围：100-199。

与路由器ACL的扩展ACL相同，可以根据多个条件进行过滤。

2.3 防火墙ACL编号范围在防火墙上，ACL通常应用于过滤网络流量，以保护网络免受未经授权的访问。

对于防火墙ACL，一般有以下编号范围：1.标准ACL编号范围：1-99。

与路由器ACL的标准ACL相同，只能根据源IP地址进行过滤。

2.扩展ACL编号范围：100-199。

与路由器ACL的扩展ACL相同，可以根据多个条件进行过滤。

三、如何配置ACL配置ACL的具体步骤和语法可能因不同的网络设备而有所不同。