acl里in跟out的区别

ACL学习总结ACL（访问控制列表）学习总结一、ACL概述：ACL是由permit或deny组成的一系列有序的规则，它告诉路由器端口处决定哪种类型的通信流量被转发或者被阻塞。

所有的ACL的最后一行上都有隐含的deny语句，且他的顺序不可改变。

ACL主要具有包过滤、服务质量（QoS）、按需拨号路由（DDR）、网络地址转换（NAT）、路由过滤等功能。

ACL的基本原理时使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而到达访问控制的目的。

网络中的节点分为资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。

ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

由于ACL是使用包过滤技术来实现的，过滤的仅仅是第三层和第四层包头中的部分信息，所以ACL技术不可避免的具有一定的局限性。

二、ACL的基本配置：1、配置ACL需要遵循两个基本原则：（1）最小特权原则：只给受控对象完成任务必须的最小权限；（2）最靠近受控对象原则：所有网络层访问权限控制尽可能距离受控对象最近；根据需要，提供两种基于IP的访问表：标准访问表和扩展访问表。

标准访问表只是根据源IP地址来允许或拒绝流量，而扩展访问表允许基于子协议、源地址、源端端口、目的地址，以及目的端口许可或者拒绝流量，甚至还可以过滤基于时间或者用户身份过滤流量。

2、配置ACL的两个重要参数：（1）ACL的表号和名字：ACL的表号和名字都是用来表示或引用ACL的，名字用字符串标识，表号用数据表示，不同协议、不同种类的ACL，其表号范围不同，一般地，1~99用于标准IP ACL，100~199用于扩展IP ACL。

（2）ACL的通配符：配置ACL的源地址或目的地址时，在允许或拒绝的IP地址后面，有一个参数是wildcard-mask——通配符，通配符用32位二进制数表示，表示形式与IP地址和子网掩码相同，而通配符实际上就是子网掩码的反码（如：IP地址202.112.66.1，其掩码是255.255.255.0，则其通配符就是0.0.0.255）2、配置一个标准IP ACL：在全局模式下：命令格式：access-list access-list-number {permit|deny|source wildcard-mask}例：在三层交换机上进行如下配置：access-list 1 permit host 10.1.6.6 anyaccess-list 1 deny anyint vlan 1ip access-group 1 out其中，access-list用于配置ACL的关键字，后面的1就是ACL的表号；host 10.1.6.6是匹配条件，等同于10.1.6.6 0.0.0.0，any表示匹配所有地址；int vlan 1、ip acces-group 1 out：将access-list 1应用到vlan1接口的out方向；3、配置一个扩展IP ACL：在全局配置模式下：（1）、使用access-list命令：命令格式：access-list access-list-number {permit|deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]例：在三层交换机上进行如下配置：int vlan 1no ip access-group 1 outexitno access-list 1access-list 101 permit tcp host 10.1.6.6 any eq telnetaccess-list 101 deny tcp any any eq telnetint vlan 1ip access-group 101 outint vlan 3ip access-group 101 out其中，no access-list 1是用于取消access-list 1，对于非命名的ACL，可以只需要这一句就可以全部取消（注：在取消或修改一个ACL之前，必须先将它所应用的接口上的应用给no掉，否则会导致严重后果）；tcp host 10.1.6.6 any eq telnet是匹配条件，完整格式为：协议源地址源wildcards[关系][源端口] 目的地址目的wildcards[关系][目的端口]，协议可以是IP、TCP、UDP、EIGRP 等，[]内为可选字段，关系可以是eq（等于）、neq（不等于）、lt（大于）、range（范围）等，端口一般为1-65535.4、配置命名的IP ACL：命名的IP ACL有两个优点：（1）、解决ACL号码不足的问题；（2）可以自由删除ACL中的一条语句，而不必删除整个ACL；5、验证ACL：（1）show running-config：快速显示应用的ACL并且不需要略过过多的输出条目；（2）show ip interface：此命令显示ACL应用的位置；（3）show ip access-lists：该命令具有显示匹配ACL中给定行的数据包数量的能力；三、ACL总结：在把IP ACL应用到网络中时，他的两种分类满足了全部需求。

第一章网络互联基础1在OSI参考模型中，实现端到端的应答、分组排序和流量控制功能的协议层是（）。

A、数据链路层B、网络层C、传输层D、应用层2下面关于ICMP协议的描述中，正确的是（）。

A、ICMP协议根据MAC地址查找对应的IP地址。

B、ICMP协议把公网的IP地址转换成私网的IP地址。

C、ICMP协议根据网络通信的情况把控制报文发送给发送方主机。

D、ICMP协议集中管理网络中的IP地址分配。

3在TCP/IP协议族中，用来将IP地址解析成MAC地址的协议是（）。

A、IPB、ARPC、RARPD、DNS4ISO七层模型中，负责路由选择的是（）。

A、物理层B、数据链路层C、网络层D、传输层5当一个IP分组在两台主机间直接交换时，这两台主机具有相同的（）。

A、IP地址B、主机号C、物理地址6（）协议提供了无连接的网络层服务。

A、IPB、TCPC、UDPD、OSI7以下（）地址是用于以太网广播帧的目的地址。

A、0.0.0.0B、255.255.255.255C、FF-FF-FF-FF-FF-FFD、0C-FA-94-24-EF-008下列（）设备可以隔离ARP广播帧。

A、路由器B、网桥C、以太网交换机D、集线器9下面提供FTP服务的默认TCP端口号是（）。

A、21B、25C、23D、8010实现域名解析IP地址的协议是（）。

A、IPB、ARPC、RARP二.填空题1某公司计划在6个部门划分子网，每个网络中的计算机最多800台。

今申请了一段160.179.0.0/16网段的地址，如何进行子网划分？子网掩码是（255.255.224.0）。

请写出其中网络号较小的六个部门的子网地址（带子网掩码）和主机IP地址范围。

子网地址从小到大分别是：子网1：（160.179.32.0），其中主机范围（160.179.32.1）~（160.179.63.254）；子网2：（160.179.64.0），其中主机范围（160.179.64.0）~（160.179.95.254）；子网3：（160.179.96.0），其中主机范围（160.179.96.1）~（160.179.127.254）；子网4：（160.179.128.0），其中主机范围（160.179.128.1）~（160.179.159.254）；子网5：（160.179.160.0），其中主机范围（160.179.160.1）~（160.179.191.254）；子网6：（160.179.192.0），其中主机范围（160.179.192.1）~（160.179.223.254）。

1 访问控制列表-细说ACL那些事儿（初步认识ACL）传闻江湖乱世之时，出现了一门奇招妙计名曰“ACL”。

其变化多端、高深莫测，部署在江湖各处的交换机轻松使上这一招，便能平定乱世江湖。

所以，这ACL也被江湖人士一时传为佳话。

ACL到底是何方秘籍？它拥有什么样的魔力能够平定江湖？今日，且让小编来为大家答疑解惑！ACL，是Access Control List的简称，中文名称叫“访问控制列表”，它由一系列规则（即描述报文匹配条件的判断语句）组成。

这些条件，可以是报文的源地址、目的地址、端口号等。

这样解释ACL，大家是不是觉得太抽象了！好，现在小编换一种解释方式。

打个比方，ACL其实是一种报文过滤器，ACL规则就是过滤器的滤芯。

安装什么样的滤芯（即根据报文特征配置相应的ACL规则），ACL就能过滤出什么样的报文了。

基于过滤出的报文，我们能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet 登录/FTP文件下载进行控制等等，从而提高网络环境的安全性和网络传输的可靠性。

说到这，大家一定迫不及待的想看看ACL长啥模样。

话不多说，先上图！围绕这张ACL结构图，小编为大家一一介绍ACL的基本概念。

1.1 ACL分类首先，图中是一个数字型ACL，ACL编号为2000。

这类似于人类的身份证号，用于唯一标识自己的身份。

当然，人类的身份证上不仅有身份证编号，还有每个人自己的名字。

ACL也同样如此，除了数字型ACL，还有一种叫做命名型的ACL，它就能拥有自己的ACL名称。

通过名称代替编号来定义ACL，就像用域名代替IP地址一样，可以方便记忆，也让大家更容易识别此ACL的使用目的。

另外，小编告诉大家，命名型ACL实际上是“名字+数字”的形式，可以在定义命名型ACL 时同时指定ACL编号。

如果不指定编号，则由系统自动分配。

上图就是一个既有名字“deny-telnet-login”又有编号“3998”的ACL。

细心的你，一定会注意到，ACL结构图中的ACL编号是“2000”，而这个例子中的ACL编号是“3998”，两者有什么区别吗？实际上，按照ACL规则功能的不同，ACL被划分为基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL这五种类型。

•ACL ：Access Control List ，访问控制列表ACL••ACL由一条或多条规则组成•每条规则必须选择动作：允许或拒绝•每条规则都有一个id 序列号（默认=5，间隔=5）•ACL 工作原理：序列号越小越先进行匹配•只要有一条规则和报文匹配，就停止查找，称为命中规则•查找完所有规则，如果没有符合条件的规则，称为未命中规则•ACL创建后，必须将其应用到某个接口或其他技术内才会生效•应用在接口时必须选择方向：入站或出站（相对设备来判断）•每个接口在每个方向上只可应用一个ACL •不能过滤由设备自己产生的数据•••ACL类型：分为数字型ACL和命名型ACL。

•192.168.0.1 0.0.0.0/0匹配一个主机地址192.168.0.0 0.0.0255匹配一个网段正掩码、反掩码、通配符区别：192.168.0.1 0.0.0.254匹配网段内奇数地址192.168.0.0 0.0.0.254匹配网段内偶数地址any=0.0.0.0 255.255.255.255匹配所有地址•acl 2000创建一个基本ACL rule 5deny/permit source 192.168.1.0 0.0.0.255配置ACL 的规则：拒绝或允许源地址为192.168.1.0/24网段内的所有流量acl 3000创建一个高级ACLrule 5deny/permit tcp source 192.168.1.0 0.0.0.255 destination 8.8.8.8 0destination-port eq 80配置ACL 的规则：拒绝或允许源地址为192.168.1.0/24网段内到8.8.8.8的HTTP 流量traffic-filter inbound/outbound acl 2000在接口调用ACL 过滤流量display acl 2000验证ACLdisplay traffic-filter applied-record查看设备上所有基于ACL 调用情况•ACL配置：••••基本ACL 尽量调用在离目标最近的出站接口•高级ACL 尽量调用在离源头最近的入站接口••ACL 接口调用方向的建议：。

acl语句规则
ACL（Access Control List，访问控制列表）是一种用于控制网络流量的技术，通过在路由器或交换机上配置ACL规则，可以对网络流量进行过滤和限制。

ACL语句规则用于定义访问控制列表中的规则，每条ACL语句由一个条件和一个动作组成。

条件是用来匹配网络流量的条件，可以是源IP地址、目的IP地址、端口号等。

动作是针对匹配的网络流量执行的动作，可以是允许或拒绝流量。

以下是一个简单的ACL语句规则示例：
```
permit tcp any any established
```
这个规则的含义是允许所有源IP地址和目的IP地址之间的TCP流量，但只允许已经建立的连接。

其中，“permit”表示允许流量，“tcp”表示传输层协议为TCP，“any”表示源IP地址和目的IP地址可以是任意值，“established”表示只允许已经建立的连接。

需要注意的是，ACL语句规则的匹配顺序很重要。

在访问控制列表中，规则按照顺序进行匹配，一旦找到匹配的规则，就会执行该规则的动作，不再继续匹配后续的规则。

因此，需要根据网络流量的情况合理安排ACL语句规则的顺序。

ACLACL 概述:访问控制列表简称为ACL，它使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

ACL 分很多种，不同场合应用不同种类的ACL。

1. 标准ACL标准ACL 最简单，是通过使用IP 包中的源IP 地址进行过滤，表号范围1-99 或1300-1999；2. 扩展ACL扩展ACL 比标准ACL 具有更多的匹配项，功能更加强大和细化，可以针对包括协议类型、源地址、目的地址、源端口、目的端口、TCP 连接建立等进行过滤，表号范围100-199 或2000-2699；在访问控制列表的学习中，要特别注意以下两个术语。

1. 通配符掩码：一个32 比特位的数字字符串,它规定了当一个IP 地址与其他的IP 地址进行比较时，该IP 地址中哪些位应该被忽略。

通配符掩码中的“1”表示忽略IP 地址中对应的位，而“0”则表示该位必须匹配。

两种特殊的通配符掩码是“255.255.255.255”和“0.0.0.0”，前者等价于关键字“any”，而后者等价于关键字“host”；2. Inbound 和outbound：当在接口上应用访问控制列表时，用户要指明访问控制列表是应用于流入数据还是流出数据。

总之，ACL 的应用非常广泛，它可以实现如下的功能：1. 拒绝或允许流入（或流出）的数据流通过特定的接口；2. 为DDR 应用定义感兴趣的数据流；3. 过滤路由更新的内容；4. 控制对虚拟终端的访问；5. 提供流量控制。

实验1：标准ACL1.实验目的通过本实验可以掌握：（1）ACL 设计原则和工作过程（2）定义标准ACL（3）应用ACL（4）标准ACL 调试2.拓扑结构实验拓扑如图所示。

标准ACL 配置本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET服务。

整个网络配置EIGRP 保证IP 的连通性。

访问控制列表ACL的配置与使用访问控制列表,即Access Control List,以下简称ACL,是路由器、交换机等网络设备上最常用的功能之一。

可以说大多数的网络协议都跟ACL有着千丝万缕的联系,所以要弄清楚ACL的用法非常重要。

实际上,ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。

然后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来“允许”或者“禁止”。

ACL的基本原理:1、ACL由若干条件,并按照一定的顺序而成,同时每个条件都对应了一个策略:允许或者禁止。

2、收到一个数据帧之后,ACL会按照从上到下的顺序逐一匹配:●一个条件不匹配就查看下一个;●任意一个条件匹配后就按照指定的策略执行,并跳出匹配;●所有条件都不匹配时,默认禁止,即deny。

根据条件描述的不同,我们通常可以将IP ACL分为基本型和扩展型两种。

其中基本型只能就数据包的源ip地址进行匹配;而扩展型ACL就可以对源IP、目的IP、协议号(判断tcp/udp/icmp等)、源端口号、目的端口号、QoS 参数(tos、precedence)等参数来进行定义,同时在匹配时,还可以根据路由器系统时间(time-range)来变化、还可以选择是否生成日志(log)等,功能非常强大。

显然标准型ACL功能非常简单,而扩展型ACL功能非常强大;但是功能越强大,匹配的越详细,对于路由器等网络设备的性能要求越高,或者对于网速的拖慢越明显。

组网时需要酌情使用。

不过有一点,两种类型的ACL在原理上是完全一致的。

标准型ACL只能匹配源IP地址,在实际操作中,有三种匹配方式:1、any,任意地址2、<net><mask>,指定ip网段3、src_range,指定ip地址范围配置模板:ip access-list standard <name> //建立一个标准型的ACL,名字自定{permit | deny} any{permit | deny} <network> <net-mask>{permit | deny} src_range <start-ip> <end-ip>例1:我们需要设置某局域网中只有192.168.1.0网段的用户能够上网(理论上有254个用户),那么应该是ip access-list standard testpermit 192.168.1.0 255.255.255.0deny any(隐含生效,无需配置)例2:我们需要设置某局域网中只有192.168.1.2~192.168.1.80的用户能够上网(理论上有79个用户),本网段的其他用户无法上网,那么应该是ip access-list standard testpermit src_range 192.168.1.2 192.168.1.80deny any(隐含生效)例3:我们需要让某局域网中只有192.168.1.0网段用户上网,但是192.168.1.33这个ip地址的用户要禁止(财务禁止上网)(理论上有253个用户),那么应该是ip access-list standard testdeny 192.168.1.33 255.255.255.255permit 192.168.1.0 255.255.255.0deny any(隐含生效)注意:例3中,要表示单个主机的话,掩码必须是4个255,即32位掩码;同时所有的例子中,各个条目的先后顺序不能搞错,想想看为什么?扩展型ACL可匹配的条目比较多,前面已经说过,但世纪上最常用的项目也就是源、目的IP,源、目的端口号,以及ip协议号(种类)这5种,这5种就可以用来满足绝大多数的应用。

【干货分享】访问控制列表ACL笔记大全.......01访问控制列表ACL1.两大功能：流量控制匹配感兴趣流量2.ACL的3P规则：在每一个接口的每一个方向上，只能针对每种第三层协议应用一个ACLl 每种协议一个ACL ：要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。

l 每个方向一个 ACL ：一个 ACL 只能控制接口上一个方向的流量。

要控制入站流量和出站流量，必须分别定义两个 ACL。

l 每个接口一个 ACL ：一个 ACL 只能控制一个接口上的流量。

3.ACL的规范：l 每个接口,每个方向,每种协议,你只能设置1 个ACL。

l ACL的语句顺序决定了对数据包的控制顺序。

在ACL中各项语句的放置顺序是很重要的。

当路由器决定某一数据包是被转发还是被丢弃时，会按照各项语句在ACL中的顺序，根据各语句的判断条件，对数据包进行检查，一旦找到了某一匹配条件就结束比较过程，不再检查以后的其他条件判断语句l 把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上，把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行，可以防止出现诸如本该拒绝(放过)的数据包被放过(拒绝)的情况。

l 你不可能从ACL 从除去1 行,除去1 行意味你将除去整个ACL。

l 默认ACL 结尾语句是deny any，所以你要记住的是在ACL 里至少要有1 条permit 语句l 创建了ACL 后要把它应用在需要过滤的接口上，l ACL只能过滤穿过路由器的数据流量，不能过滤由本路由器上发出的数据包。

l 在路由选择进行以前，应用在接口in方向的ACL起作用。

l 在路由选择决定以后，应用在接口out方向的ACL起作用。

4.标准访问控制列表：只能根据源地址做过滤针对整个协议采取相关动作（允许或禁止）建议将标准访问控制列表放在里目的地址近的地方，因为标准访问控制列表只能对源IP地址进行过滤扩展访问控制列表：能根据源、目的地地址、端口号等等进行过滤能允许或拒绝特定的协议建议将扩展的访问控制列表放在离源IP地址近的地方，因为扩展访问控制列表可以进行更细化的一些过滤02ACL的范围1.ACL的入站及出站：03ACL的入站及出站2.入站：在路由选择进行以前，应用在接口in方向的ACL起作用。

access-list(访问控制列表)总结ACL的作用ACL可以限制网络流量、提高网络性能。

例如，ACL可以根据数据包的协议，指定数据包的优先级。

ACL提供对通信流量的控制手段。

例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

ACL是提供网络安全访问的基本手段。

如图1所示，ACL允许主机A访问人力资源网络，而拒绝主机B 访问。

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

ACL的配置ACL的配置分为两个步骤：第一步:在全局配置模式下，使用下列命令创建ACL：Router (config)# access-list access-list-number {permit | deny } {test-conditions}其中，access-list-number为ACL的表号。

人们使用较频繁的表号是标准的IP ACL（1—99）和扩展的IP ACL（100－199）。

第二步：在接口配置模式下，使用access-group命令ACL应用到某一接口上：Router (config-if)# {protocol} access-group access-list-number {in | out }其中，in和out参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为out。

ACL在一个接口可以进行双向控制，即配置两条命令，一条为in，一条为out，两条命令执行的ACL表号可以相同，也可以不同。

但是，在一个接口的一个方向上，只能有一个ACL控制。

值得注意的是，在进行ACL配置时，网管员一定要先在全局状态配置ACL表，再在具体接口上进行配置，否则会造成网络的安全隐患。

访问控制列表使用目的：1、限制网络流量、提高网络性能。

例如队列技术，不仅限制了网络流量，而且减少了拥塞2、提供对通信流量的控制手段。

技术从来都是一把双刃剑，网络应用与互联网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性，员工利用互联网做与工作不相干事等负面影响。

如何将一个网络有效的管理起来，尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。

A公司的某位可怜的网管目前就面临了一堆这样的问题。

A公司建设了一个企业网，并通过一台路由器接入到互联网。

在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。

分别是网络设备与网管(VLAN110.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部（VLAN4）、市场部(VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。

每个网段的三层设备（也就是客户机上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。

网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。

这些抱怨都找这位可怜的网管，搞得他头都大了。

那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术,访问控制列表（下文简称ACL）。

那么，什么是ACL呢？ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？ACL的基本原理、功能与局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。

本文所有的配置实例均基于Cisco IOS 的ACL进行编写。

C#关键字in、out、ref的作⽤与区别简介：In:过程不会改写In的内容，默认的传递⽅式，即向函数内部传送值。

Out和out:传⼊的值不会被过程所读取，Out在传⼊的时候，参数的数值会清空，但过程可以写。

只出不进ref:可以把参数的数值传递进函数，过程会读，会写。

有进有出。

⼀、InIn 关键字使参数按值传递。

即向函数内部传送值。

例如：using System;class gump{public double square(double x){x=x*x;return x;}}class TestApp{public static void Main(){gump doit=new gump();double a=3;double b=0;Console.WriteLine(\"Before square->a={0},b={1}\",a,b);//a=3,b=0;b=doit.square( a);Console.WriteLine(\"After square->a={0},b={1}\",a,b);//a=3,b=9;}}⼆、refref 关键字使参数按引⽤传递。

其效果是，当控制权传递回调⽤⽅法时，在⽅法中对参数的任何更改都将反映在该变量中。

若要使⽤ ref 参数，则⽅法定义和调⽤⽅法都必须显式使⽤ ref 关键字。

例如：using System;class gump{public double square(double x){x=x*x;return x;}}class TestApp{public static void Main(){gump doit=new gump();double a=3;double b=0;Console.WriteLine(\"Before square->a={0},b={1}\",a,b);//a=3,b=0;b=doit.square( ref a);Console.WriteLine(\"After square->a={0},b={1}\",a,b);//a=9,b=9;}}传递到 ref 参数的参数必须最先初始化。

ACL的使用ACL的处理过程：1、语句排序一旦某条语句匹配，后续语句不再处理。

2、隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包要点：ACL能执行两个操作：允许或拒绝。

语句自上而下执行。

一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。

如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。

一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。

如果在语句结尾增加deny any的话可以看到拒绝记录Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。

示例：编号方式标准的ACL使用1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

）允许172.17.31.222通过，其他主机禁止Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222禁止172.17.31.222通过,其他主机允许Cisco-3750(config)#access-list 1 deny host 172.17.31.222Cisco-3750(config)#access-list 1 permit any允许172.17.31.0/24通过,其他主机禁止Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255）禁止172.17.31.0/24通过,其他主机允许Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254Cisco-3750(config)#access-list 1 permit any二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。

网络层访问权限控制技术ACL详解(下)ZDNET网络频道时间：2008-05-29作者：巧巧读书| 巧巧读书本文关键词：访问控制列表acl进一步完善对服务器数据的保护――acl执行顺序再探讨在服务器网段中的数据库服务器中存放有大量的市场信息，市场部门的人员不希望研发部门访问到数据库服务器，经过协商，同意研发部门的领导的机器（IP地址为10.1.6.33）可以访问到数据库服务器。

这样，我们的服务器网段的的访问权限部分如下表所示：协议源地址源端口目的地址目的端口操作TCP 10.1/16 所有10.1.2.20/32 80 允许访问TCP 10.1/16 所有10.1.2.22/32 21 允许访问TCP 10.1/16 所有10.1.2.21/32 1521 允许访问TCP 10.1.6/24 所有10.1.2.21/32 1521 禁止访问TCP 10.1.6.33/32 所有10.1.2.21/32 1521 允许访问IP 10.1/16 N/A 所有N/A 禁止访问于是，网管就在server-protect后面顺序加了两条语句进去，整个acl变成了如下形式：ip access-list extend server-protectpermit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq wwwpermit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq ftpdeny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521permit tcp host 10.1.6.33 host 10.1.2.21 eq 1521做完之后发现根本没起到应有的作用，研发部门的所有机器还是可以访问到数据库服务器。

ACL的方向浅析ACL的方向问题，看了好多别人写的文章，理解in及out还是有些不明白，经过做了几个实验后终于明白了一些。

以下只是说明道理，具体语法请参考ACL说明。

首先要明白一点:路由器转发数据转发数据只是是对接到的原有数据包在查找路由后进行二层封装（源地址及目标mac地址被替换成路由器接口的mac而发生变化），然后转发到目的地，期间不对数据包的源、目的地址进行变化。

In和out是针对经过的路由器而言，并不是针对接口，三层交换机要把vlan端口看成实际的物理端口即可，如下图：当一个数据包从A流B，对acl来讲A就是acl的源地址，B就是目的地址（当然对标准acl讲只针对源地址进行限制）。

以标准ACL为例，要想限制A访问B，用access-list 1 deny A ,在不考虑路由器cpu利用率的情况下放在fa/0的in和放在fa/0的out方向效果是一样的。

因为方向都是从A到B，左边是源地址，右边是目的地址。

回答的数据包从B返回到A的途中，ACL不起作用。

对于扩展ACL类似，但要求ACL中源地址位置的IP与实际的源地址、目的地址与实际当中的目的地址二者均相同相同ACL才起作用。

扩展ACL要考虑数据包返回时的方向，如果acl中的源地址与目的地址写颠倒了，而正好放置的端口也搞错了，此时就要考虑回来的数据包被拦截了。

例如：本来是deny host A host B放在fa/0的in上，却写成了deny host B host A,又恰好放在了fa/1的in方向，此时就变成了阻止B回给A的数据包了，效果一样，但理解上与设计初衷不一样。

当然以上说的ip地址换成网段也一样。

==================================其他acl知识=======================访问列表的种类划分目前的路由器一般都支持两种类型的访问表：基本访问表和扩展访问表。

基本访问表控制基于网络地址的信息流，且只允许过滤源地址。

基本原则：1、按顺序执行，只要有一条满足，则不会继续查找2、隐含拒绝，如果都不匹配，那么一定匹配最后的隐含拒绝条目，思科默认的3、任何条件下只给用户能满足他们需求的最小权限4、不要忘记把ACL应用到端口上一、标准ACL 命令：access-list {1-99} {permit/deny} source-ip source-wildcard [log] 例：access-list 1 penmit 192.168.2.0 0.0.0.255 允许192.168.2.0网段的访问access-list 1 deny 192.168.1.0 0.0.0.255 拒绝192.168.1.0网段的访问说明：wildcard为反掩码，host表示特定主机等同于192.168.2.3 0.0.0.0；any表示所有的源或目标等同于0.0.0.0 255.255.255.255 ；log表示有匹配时生成日志信息；标准ACL一般用在离目的最近的地方二、扩展ACL 命令：access-list {100-199} {permit/deny} protocol source-ip source-wildcard [operator port] destination-ipdestination-wildcard [operator port] [established][log] 例：access-list 101 permit tcp 192.168.2.0 0.0.0.255 gt 1023 host 192.168.1.2 eq 80 允许192.168.2.0网段的主机访问主机192.168.1.2的web服务access-list 101 permit udp 192.168.2.0 0.0.0.255 gt 1023 any eq 53允许192.168.2.0网段的主机访问外网以做dns查询说明：gt 1023表示所有大于1023的端口，这是因为一般访问web、ftp等服务器时客户端的主机是使用一个1023以上的随机端口；established 表示允许一个已经建立的连接的流量，也就是数据包的ACK位已设置的包。

acl的功能：1.访问控制2. 匹配：a.匹配数据 b.匹配路由。

配置：1.标准访问控制列表：①access-list（1-99）基于ip标准，只能控制ip包。

（1300-1999）不常用。

②编号的没有办法针对某一行单独删除，也不可以进行插入，支持行号重排；命名的都可以。

③只能匹配源ip。

④当匹配路由时，只能控制网络号，不能控制掩码（掩码比须一致）。

a. 编号的:R2(config)#access-list [list number][permit | deny][source address][wildcard-mask][log]例如: R2(config)#access-list 10 permit 12.1.1.1 0.0.0.0R2(config)#access-list 10 permit 1.1.1.0 0.0.0.255b. 命名的：R2(config)#ip access-list standard[（1-99,1300-1999）| （wolf ，wolf123 ，e@#￥，......)]例如：R2(config)#（行号）ip access-list standardwolf （行号可选，一般在需要插入的时候使用）R2(config-std-nacl)#permit 4.4.4.40.0.0.255 (可进到该表下，不必再像编号那样每次都accless）R2(config-std-nacl)#permit 5.55.5.0 0.0.255.254R2(config-std-nacl)#remark ce shi (描述:针对上面一行）R2(config-std-nacl)#deny host 192.168.0.12.扩展访问控制列表：a.编号的：R2(config)#access-list [list num.] [per | deny][protocol | protocol keyword] [source address][source-wildcard] [source port] [dest address] [dest-wildcard] [dest port] [log] [options]①access-list（100-199）不仅基于ip，还可以支持tcp、udp、icmp、等协议。

路由策略ACL一、策略介绍1、ACL：访问控制列表2、过滤流量（在网络通的情况下，使网络不通）3、ACL动作：①允许（permit）②拒绝（deny）4、ACL范围：①基本ACL ②扩展ACL5、ACL的掩码简称通配符≈反向掩码6、调用地方接口上：①in（入口）②out（出口）二、ACL介绍1、基本ACL：只能基于源IP定义流量范围（粗糙）表号（1～99，1300～1999）2、扩展ACL：可以基于源IP、目的IP、协议、端口号定义流量范围（详细）表号（100～199，2000～2699）3、ACL特点：①默认拒绝所有、至少出现一个permit（允许）条目②ACL查表是按顺序的，自上而上匹配三、ACL配置命令1、基本ACL配置：①access-list 1(表号) deny 源IP＋反向掩码：定义要拒绝访问的IP②access-list 1(表号) permit any(所有) ：允许其它条目通过③int f0/0 ：进入接口④ip access-group 1 out／in(出口／进口) ：调用刚才设置的表号2、扩展ACL配置：①access-list 100(表号) deny ip 源IP＋反向掩码＋目的IP＋反向掩码：定义拒绝IP②access-list 100(表号) permit ip any any ：定义其它IP流量全部允许通过③int f0/0 ：进入接口④ip access-grout 100 out／in ：调用刚才扩展的ACL表号3、如果拒绝某一个IP，访问某一个IP设置（只能用扩展ACL定义）①access-list 100(表号) deny ip host 源IP＋目的IP ：设置拒绝单个IP②access-list 100(表号) permit ip any any ：其它IP流量全部允许③int f0/0 ：进入接口④ip access-grout 100 in／out ：调用刚才定义的IP表号4、查看ACL命令：①show access-list ：查看ACL定义范围②show running-config ｜section access-list ：只查看ACL配置。