访问控制列表原理及配置技巧(acl)

访问控制列表ACL及配置教程访问控制列表：ACL:(accesscontrollist)适⽤所有的路由协议：IP,IPX,AppleTalk控制列表分为两种类型：1.标准访问控制列表：检查被路由数据包的源地址、1~99代表号2.扩展访问控制列表：对数据包的源地址与⽬标地址进⾏检查。

访问控制列表最常见的⽤途是作为数据包的过滤器。

其他⽤途；可指定某种类型的数据包的优先级，以对某些数据包优先处理识别触发按需拨号路由（DDR）的相关通信量路由映射的基本组成部分ACL能够⽤来：提供⽹络访问的基本安全⼿段访问控制列表可⽤于Qos（QualityofService,服务质量）对数据流量进⾏控制。

可指定某种类型的数据包的优先级，以对某些数据包优先处理起到了限制⽹络流量，减少⽹络拥塞的作⽤提供对通信流量的控制⼿段访问控制列表对本⾝产⽣的的数据包不起作⽤，如⼀些路由更新消息路由器对访问控制列表的处理过程：（1）如果接⼝上没有ACL，就对这个数据包继续进⾏常规处理（2）如果对接⼝应⽤了访问控制列表，与该接⼝相关的⼀系列访问控制列表语句组合将会检测它：*若第⼀条不匹配，则依次往下进⾏判断，直到有⼀条语句匹配，则不再继续判断。

路由器将决定该数据包允许通过或拒绝通过*若最后没有任⼀语句匹配，则路由器根据默认处理⽅式丢弃该数据包。

*基于ACL的测试条件，数据包要么被允许，要么被拒绝。

（3）访问控制列表的出与⼊，使⽤命令ipaccess-group，可以把访问控制列表应⽤到某⼀个接⼝上。

in或out指明访问控制列表是对近来的，还是对出去的数据包进⾏控制【在接⼝的⼀个⽅向上，只能应⽤1个access-list】路由器对进⼊的数据包先检查⼊访问控制列表，对允许传输的数据包才查询路由表⽽对于外出的数据包先检查路由表，确定⽬标接⼝后才检查看出访问控制列表======================================================================应该尽量把放问控制列表应⽤到⼊站接⼝，因为它⽐应⽤到出站接⼝的效率更⾼：将要丢弃的数据包在路由器惊醒了路由表查询处理之前就拒绝它（4）访问控制列表中的deny和permit全局access-list命令的通⽤形式：Router(config)#access-listaccess-list-number{permit|deny}{testconditions}这⾥的语句通过访问列表表号来识别访问控制列表。

什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表的原理对路由器接口来说有两个方向出：已经经路由器的处理，正离开路由器接口的数据包入：已经到达路由器接口的数据包，将被路由器处理。

匹配顺序为："自上而下，依次匹配".默认为拒绝访问控制列表的类型标准访问控制列表：一般应用在out出站接口。

建议配置在离目标端最近的路由上扩展访问控制列表：配置在离源端最近的路由上，一般应用在入站in方向命名访问控制列表：允许在标准和扩展访问列表中使用名称代替表号访问控制列表使用原则1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

一、标准访问列表(标准ACL)访问控制列表ACL分很多种，不同场合应用不同种类的ACL.其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL.它的具体格式：access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]access-list-number 为1-99 或者1300-1999之间的数字，这个是访问列表号。

ACL（访问控制列表）一、基本：1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL，后面的ACL表不再检查2)、如果所有的ACL都不匹配，禁止所有的操作（隐含）特例，创建一个空的ACL表，然后应用这个空的ACL表，产生禁止所有的操作。

3）、后添加的ACL表，放在尾部4)、ALC表放置的原则：如果是基本ACL表，尽量放在目的端，如果是扩展ACL表，尽量放在源端5)、语句的位置：一般具体ACL表放在模糊的ACL表前6)、3P原则：每一个协议每一个接口每一个方向只有一个ACL表。

（多个ACL表会引起干扰）7)、应用ACL的方向，入站和出站，应用在接口上三、基本ACL表(不具体)1、定义命令：access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令：ip access-group <</span>编号> in/out 查看命令：sh access-lists1）、编号：1-99和1300-19992）、可以控制一台计算机或控制一段网络3）、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤：1、定义ACL表2、应用ACL表五、路由器在默认的情况下，对所有数据都是开放，而防火墙在默认情况下，对所有数据都禁止。

六：判断是流入还是流出，看路由器的数据流向七：注意：如果在写禁止，小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络（禁止）Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机（允许）Access-list 1 permit 172.16.1.1004、控制一个网段（允许）Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置：1)、使能密码2)、登录密码控制telnet服务应用端口命令：access-class <</span>编号> in/out 实例：只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例：。

网络防火墙是保护网络安全的重要工具，它通过设置访问控制列表（ACL）来限制网络流量，防止未经授权的访问和攻击。

本文将从什么是ACL、为何需要ACL以及如何设置ACL三个方面来讨论如何设置网络防火墙的访问控制列表。

一、什么是ACL访问控制列表（ACL）是一种网络安全策略，用于控制网络流量的流动。

它通过规定哪些网络流量可以通过网络防火墙进入网络或离开网络，从而保护网络的安全。

ACL可以基于多个因素进行限制，例如源IP地址、目标IP地址、协议类型、源端口号、目标端口号等。

二、为何需要ACL1.控制访问权限：ACL可以限制特定IP地址或IP地址范围的访问权限，从而保护网络资源免受未经授权的访问。

2.防止网络攻击：ACL可以阻止恶意流量和入侵尝试，有效减少网络攻击的风险。

3.提高网络性能：通过限制特定流量的访问权限，可以减少网络拥堵和带宽占用，提高网络的响应速度和性能。

三、如何设置ACL1.了解网络拓扑：在设置ACL之前，需要全面了解网络拓扑结构和网络设备的配置。

确定哪些设备需要受ACL控制，并了解它们之间的通信需求。

2.确定ACL的目标：在设置ACL之前，需要明确ACL的目标和限制范围。

例如，限制特定IP地址或IP地址范围的访问权限，限制特定协议或端口号的流量等。

3.编写ACL规则：根据确定的目标和限制范围，编写ACL规则。

ACL规则应包括源IP地址、目标IP地址、协议类型、源端口号、目标端口号等信息。

根据具体需求，可以编写多条规则，实现更精细的访问限制。

4.优化ACL规则：编写ACL规则后，需要对规则进行优化。

避免使用过于宽泛的规则，可以根据实际需求进行调整和优化。

同时，还需要将最常用的规则放在前面，以提高访问控制的效率。

5.配置ACL规则：配置ACL规则时，需要将规则应用到网络设备上。

根据网络设备的型号和配置界面，选择合适的方式进行配置。

通常可以通过命令行界面或图形界面来进行配置。

6.测试和监控ACL：在配置ACL后，需要进行测试和监控。

访问控制列表acl实验报告访问控制列表（ACL）实验报告引言：访问控制列表（ACL）是一种用于网络设备和操作系统中的安全机制，用于限制用户或进程对资源的访问权限。

通过ACL，管理员可以精确地控制谁可以访问特定的资源，以及访问的方式和权限。

本实验报告将介绍ACL的基本概念、实验目的、实验环境、实验步骤和实验结果，并对实验过程中遇到的问题和解决方案进行讨论。

一、ACL的基本概念ACL是一种由许多规则组成的表格，每个规则都包含一个或多个条件和一个动作。

条件可以基于源IP地址、目标IP地址、源端口、目标端口、协议类型等进行匹配。

动作可以是允许或拒绝访问。

ACL通常应用于网络设备（如路由器和交换机）或操作系统的防火墙功能，用于过滤和控制进出网络的流量。

二、实验目的本实验的目的是通过配置和测试ACL，了解ACL的工作原理、应用场景和配置方法。

通过实验，我们可以深入理解ACL对网络安全的重要性，以及如何使用ACL来保护网络资源免受未经授权的访问。

三、实验环境本实验使用了一台配置了Cisco IOS操作系统的路由器作为实验设备。

路由器上有多个接口，分别连接到不同的网络。

我们将通过配置ACL来控制不同网络之间的通信流量。

四、实验步骤1. 配置ACL规则：首先，我们需要确定要保护的资源和规定访问权限。

根据实验需求，我们可以创建多个ACL规则，每个规则对应一个特定的访问需求。

例如，我们可以创建一个规则，允许内部网络的用户访问外部网络的HTTP服务，但禁止访问其他协议。

通过配置源IP地址、目标IP地址和协议类型等条件，我们可以精确地定义ACL规则。

2. 应用ACL规则：一旦我们创建了ACL规则，就需要将其应用到适当的接口或设备上。

在路由器上，我们可以将ACL规则应用到特定的接口，以控制从该接口进出的流量。

通过配置入站和出站的ACL规则，我们可以限制流量的方向和访问权限。

3. 测试ACL效果：配置完成后，我们需要测试ACL的效果，确保ACL规则能够正确地过滤和控制流量。

访问控制列表ACL的配置与使用访问控制列表,即Access Control List,以下简称ACL,是路由器、交换机等网络设备上最常用的功能之一。

可以说大多数的网络协议都跟ACL有着千丝万缕的联系,所以要弄清楚ACL的用法非常重要。

实际上,ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。

然后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来“允许”或者“禁止”。

ACL的基本原理:1、ACL由若干条件,并按照一定的顺序而成,同时每个条件都对应了一个策略:允许或者禁止。

2、收到一个数据帧之后,ACL会按照从上到下的顺序逐一匹配:●一个条件不匹配就查看下一个;●任意一个条件匹配后就按照指定的策略执行,并跳出匹配;●所有条件都不匹配时,默认禁止,即deny。

根据条件描述的不同,我们通常可以将IP ACL分为基本型和扩展型两种。

其中基本型只能就数据包的源ip地址进行匹配;而扩展型ACL就可以对源IP、目的IP、协议号(判断tcp/udp/icmp等)、源端口号、目的端口号、QoS 参数(tos、precedence)等参数来进行定义,同时在匹配时,还可以根据路由器系统时间(time-range)来变化、还可以选择是否生成日志(log)等,功能非常强大。

显然标准型ACL功能非常简单,而扩展型ACL功能非常强大;但是功能越强大,匹配的越详细,对于路由器等网络设备的性能要求越高,或者对于网速的拖慢越明显。

组网时需要酌情使用。

不过有一点,两种类型的ACL在原理上是完全一致的。

标准型ACL只能匹配源IP地址,在实际操作中,有三种匹配方式:1、any,任意地址2、<net><mask>,指定ip网段3、src_range,指定ip地址范围配置模板:ip access-list standard <name> //建立一个标准型的ACL,名字自定{permit | deny} any{permit | deny} <network> <net-mask>{permit | deny} src_range <start-ip> <end-ip>例1:我们需要设置某局域网中只有192.168.1.0网段的用户能够上网(理论上有254个用户),那么应该是ip access-list standard testpermit 192.168.1.0 255.255.255.0deny any(隐含生效,无需配置)例2:我们需要设置某局域网中只有192.168.1.2~192.168.1.80的用户能够上网(理论上有79个用户),本网段的其他用户无法上网,那么应该是ip access-list standard testpermit src_range 192.168.1.2 192.168.1.80deny any(隐含生效)例3:我们需要让某局域网中只有192.168.1.0网段用户上网,但是192.168.1.33这个ip地址的用户要禁止(财务禁止上网)(理论上有253个用户),那么应该是ip access-list standard testdeny 192.168.1.33 255.255.255.255permit 192.168.1.0 255.255.255.0deny any(隐含生效)注意:例3中,要表示单个主机的话,掩码必须是4个255,即32位掩码;同时所有的例子中,各个条目的先后顺序不能搞错,想想看为什么?扩展型ACL可匹配的条目比较多,前面已经说过,但世纪上最常用的项目也就是源、目的IP,源、目的端口号,以及ip协议号(种类)这5种,这5种就可以用来满足绝大多数的应用。

访问控制列表的工作原理
1.分清数据流方向，在数据流经过路由器的入、出方向都
设置都生效的时候建议应用到入方向。

（入：先ACL后路由，出：先路由后ACL）
2.访问控制列表管理的是经过路由器的数据包（过路包）
3.匹配访问控制列表的顺序为：由上至下；由范围小至范
围大；默认拒绝剩下所有；如果第一条匹配，则不再往下检查列表；如果最后没有任何一条规则匹配，则路由器根据默认的规则将丢弃数据。

4.要撤销ACL 顺序建议：先撤销端口应用，再no掉相应
列表
5.标准ACL不能单独删除某一条，只能删除整个ACL组。

三、配置标准访问控制列表
1.创建ACL
Conf#access-list ID(1-99) permit/deny (源IP)
源IP反掩码
Conf#access-list 1 per
192.168.1.1 0.0.0.0
Conf#access-list 1 deny any
192.168.1.1 0.0.0.0=host 192.168.1.1
Any= 0.0.0.0 255.255.255.255
含义：标准acl 序号为1 允许192.168.1.1通行并拒
绝了剩余所有的流量通行
2.应用到端口上
Conf#int f0/0 (进入你要配置规则
的端口)
（Conf-if）#ip access-group 1 in
含义：在f0/0接口的入方向应用了ACL 1 规则。

如何设置网络防火墙的访问控制列表（ACL）？网络防火墙在保护企业网络安全的过程中起着重要的作用。

为了加强防火墙的阻挡能力，访问控制列表（ACL）成为了其中非常重要的一部分。

本文将介绍如何设置网络防火墙的ACL，以实现更加严格的访问控制。

1. 理解访问控制列表（ACL）ACL是网络防火墙的一种策略，用于控制数据包在网络中的流动。

它可以基于源IP地址、目标IP地址、端口号、协议等多种条件进行过滤，从而允许或禁止特定类型的网络流量通过防火墙。

通过设置ACL，可以达到对网络访问的精确控制。

2. 定义网络访问策略在设置ACL之前，需要明确网络访问策略。

首先，审查企业的网络安全需求，包括对内部和外部网络流量的访问控制。

之后，根据网络的需求确定需要允许或禁止的流量类型，例如内部网络通信、远程访问等。

明确网络访问策略可以帮助合理设置ACL，确保只有必要的流量可以通过防火墙。

3. 配置ACL规则在设置ACL之前，需要了解防火墙设备的品牌和型号，以及其所支持的ACL语法。

根据网络访问策略，配置相应的ACL规则。

ACL规则通常包括源IP地址、目标IP地址、端口号等，可以通过逻辑操作符（如AND、OR）连接多个条件。

根据具体情况，可以设置允许、拒绝或监视特定流量类型。

4. 规划ACL优先级在配置ACL时，需要考虑规划ACL的优先级。

因为ACL规则按照顺序依次匹配，当匹配到一条规则后，后续的规则将不再生效。

因此，需要对ACL规则进行排序，确保重要的访问控制被优先匹配。

具体的排序策略根据网络需求而定，可以根据访问频率、安全等级等因素来考虑。

5. 监控和调整ACL设置在ACL配置完成后，需要进行监控和定期调整。

定期检查防火墙日志可以了解网络流量情况，发现异常流量并及时调整ACL规则。

此外，对于新的网络应用，需要根据其特点添加相应的ACL规则，以保证网络安全。

6. 定期更新和升级随着网络环境的变化，网络防火墙需要定期进行更新和升级。

任务12 配置标准访问控制列表（ACL）一、【技术原理】ACL 定义了一组规则，用于对进入入站接口的数据包、通过路由器中继的数据包，以及从路由器出站接口输出的数据包施加额外的控制。

入站ACL 传入数据包经过处理之后才会被路由到出站接口。

入站ACL 非常高效，如果数据包被丢弃，则节省了执行路由查找的开销。

当测试表明应允许该数据包后，路由器才会处理路由工作。

最后一条隐含的语句适用于不满足之前任何条件的所有数据包。

这条最后的测试条件与这些数据包匹配，并会发出“拒绝”指令。

此时路由器不会让这些数据进入或送出接口，而是直接丢弃它们。

最后这条语句通常称为“隐式deny any 语句”或“拒绝所有流量”语句。

由于该语句的存在，所以ACL 中应该至少包含一条permit 语句，否则ACL 将阻止所有流量。

二、【任务描述】某公司财务部、销售部分属同一个路由器下两个不同的网段，用来两个部门可以互相通信，现要求销售部不能访问财务部的计算机，在路由器上作适当的配置，满足上述要求。

三、【任务实现】1、规划拓扑结构实验教学要求所需的最简设备：1台路由器、2台PC机、连线。

运行Packet Tracer，在Packet Tracer桌面的工作区绘制网络拓扑图，将选择的设备和线缆拖动到工作区里。

如网络拓扑图所示。

2、完成ACL的配置（1）路由器：Router>enableRouter#configure terminal1）配置端口Router(config)#interface fastEthernet 0/0Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#interface fastEthernet 0/1Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exit2）创建访问列表Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255!建立标准访问列表，编号取值：1~99。

acl访问控制列表原理ACL 访问控制列表原理ACL 访问控制列表是一种用于控制访问权限的技术。

ACL 可以用于文件系统、网络设备、Web 服务器等各种场景。

本文将重点介绍ACL 在网络设备中的应用原理。

在网络设备中，ACL 通常用于控制流量的转发。

比如说，我们可以通过ACL 来限制某些IP 地址的访问权限，或者防止某些类型的数据流量通过网络设备。

在Cisco 网络设备中，ACL 被称为Access Control Entries（ACEs），ACEs 可以被组合成 ACL。

ACL 包含多个 ACE，每个 ACE 都包含以下几个部分：1. 源地址：指定数据流量的源 IP 地址，可以是单个 IP 地址或者一段 IP 地址范围。

2. 目标地址：指定数据流量的目标 IP 地址，可以是单个 IP 地址或者一段 IP 地址范围。

3. 协议类型：指定数据流量所使用的协议类型，包括TCP、UDP、ICMP 等。

4. 源端口：指定数据流量的源端口号，可以是单个端口号或者一段端口号范围。

5. 目标端口：指定数据流量的目标端口号，可以是单个端口号或者一段端口号范围。

6. 操作类型：指定 ACL 对数据流量的处理方式，包括允许、拒绝等。

ACL 的匹配规则是按照ACE 中的各个部分逐一匹配的。

比如说，当一个数据包到达网络设备时，ACL 首先会检查数据包的源地址是否匹配 ACE 中的源地址，如果匹配，则继续检查目标地址、协议类型、源端口、目标端口等部分是否匹配。

只有当所有部分都匹配时，ACL 才会按照 ACE 的操作类型对数据包进行处理。

需要注意的是，ACL 的匹配规则是按照ACE 的顺序逐一匹配的。

因此，在配置ACL 时，需要注意ACE 的顺序。

通常情况下，应该将最常见的情况放在前面，这样可以提高匹配效率。

ACL 的配置方法也比较简单，通常可以通过命令行或者Web 界面进行配置。

以 Cisco 网络设备为例，下面是一个简单的 ACL 配置示例：access-list 101 permit ip 192.168.1.0 0.0.0.255 anyaccess-list 101 deny ip any any上述配置表示允许来自192.168.1.0/24 子网的IP 地址访问任何目标地址，同时拒绝所有其他 IP 地址的访问。

访问控制列表ACL一：访问控制列表概述〃访问控制列表（ACL）是应用在路由器接口的指令列表。

这些指令列表用来告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。

〃工作原理：它读取第三及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等。

根据预先设定好的规则对包进行过滤，从而达到访问控制的目的。

〃实际应用：阻止某个网段访问服务器。

阻止A网段访问B网段，但B网段可以访问A网段。

禁止某些端口进入网络，可达到安全性。

二：标准ACL〃标准访问控制列表只检查被路由器路由的数据包的源地址。

若使用标准访问控制列表禁用某网段，则该网段下所有主机以及所有协议都被禁止。

如禁止了A网段，则A网段下所有的主机都不能访问服务器，而B网段下的主机却可以。

用1----99之间数字作为表号一般用于局域网，所以最好把标准ACL应用在离目的地址最近的地方。

〃标准ACL的配置：router（config）#access-list表号 deny(禁止)网段/IP地址反掩码********禁止某各网段或某个IProuter（config）#access-list表号 permit（允许） any注：默认情况下所有的网络被设置为禁止，所以应该放行其他的网段。

router（config）#interface 接口 ******进入想要应用此ACL的接口（因为访问控制列表只能应用在接口模式下）router（config-if）#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN其中router(config)#access-list 10 deny 192.168.0.10.0.0.0 =router(config)#access-list 10 deny host 192.168.0.1router(config)#access-list 10 deny 0.0.0.0255.255.255.255 =router(config)#access-list 10 deny anyrouter#show access-lists ******查看访问控制列表。

访问控制列表ACL的用法一：-什么是访问控制列表：1、访问控制列表（ACL）：应用于路由器接口的指令列表，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝。

ACL的工作原理：读取第三层及第四层包头中的信息；根据预先定义好的规则对包进行过滤。

-访问控制列表的作用：提供网络访问的基本安全手段；可用于QoS，控制数据流量；控制通信量2、访问控制列表工作原理：实现访问控制列表的核心技术是包过滤通过分析IP数据包包头信息，进行判断；利用4个元素定义规则：源地址；目的地址；源端口；目的端口-访问控制留别入与出：使用命令ip access-group将ACL应用到某一个接口上：Router(config-if)#ip access-group access-list-number {in | out}*在接口的一个方向上，只能应用一个access-list-Deny和Permit命令：Router(config)#access-list access-list-number {permit | deny} {test conditions}*permit：允许数据报通过应用了访问控制列表的接口；deny：拒绝数据包通过-使用通配符any和host通配符any可代替0.0.0.0 255.255.255.255Host表示检查IP地址的所有位3、访问控制列表的种类：基本类型的访问控制列表：标准访问控制列表；扩展访问控制列表其他种类的访问控制列表：基于MAC地址的访问控制列表；基于时间的访问控制列表-标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包；访问控制列表号从1到99只使用源地址进行过滤，表明是允许还是拒绝二：访问控制列表的配置方法-标准访问控制列表的配置第一步，使用access-list命令创建访问控制列表：Router(config)#access-list access-list-number {permit | deny} source [source-wildcard] [log]第二步，使用ip access-group命令把访问控制列表应用到某接口Router(config-if)#ip access-group access-list-number {in | out}线路模式应用标准的访问控制列表命令Router(config-if)#iaccess-class access-list-number {in | out}-扩展访问控制列表：基于源和目的地址、传输层协议和应用端口号进行过滤；每个调都必须匹配，才会施加允许或拒绝条件；使用扩展ACL可实现更加精确的流量控制；访问控制列表号从100到199使用更多的信息描述数据包，表明是允许还是拒绝-扩展访问控制列表的配置第一步，使用access-list命令创建扩展访问控制列表Router(config)#access-list access-list-number {permit | deny} protocol [source source-wildcard destination destination-wildcard] [operator port] [established] [log]-扩展访问控制列表操作符的含义：eq portnumber等于端口号portnumbergt portnumber大于端口号portnumberlt portnumber小于端口号portnumberneq portnumber不等于端口号portnumber第二步，使用ip access-group命令将扩展访问控制列表应用到某接口Router(config-if)#ip access-group access-list-number {in | out}-命名的访问控制列表：命名IP访问列表允许从指定的访问列表添加或删除单个条目。