标准访问控制列表配置

标准IP访问控制列表的配置及应用一、拓扑结构图；二、访问控制列表的概念；1．访问控制列表(Access Control List，ACL)是应用在路由器（或三层交换机）端口上的控制列表。

ACL可以允许（permit）或拒绝（deny）进入或离开路由器的数据包（分组），通过设置可以允许或拒绝网络用户使用路由器的某些端口，对网络系统起到安全保护作用。

访问控制列表（ACL）实际上是一系列允许和拒绝匹配准则的集合。

2．IP访问控制列表可以分为两大类：标准IP访问控制列表，只对数据包的源IP地址进行检查。

其列表号为1~99或者1300~1999。

扩展IP访问控制列表，对数据包的源和目标IP地址、源和目标端口号等进行检查，可以允许或拒绝部分协议。

其列表号为100~199或2000~2699。

3．访问控制列表对每个数据包都以自上向下的顺序进行匹配。

如果数据包满足第一个匹配条件，那么路由器就按照该条语句所规定的动作决定是拒绝还是允许；如果数据包不满足第一个匹配条件，则继续检测列表的下一条语句，以此类推。

数据包在访问控制列表中一旦出现了匹配，那么相应的操作就会被执行，并且对此数据包的检测到此为止。

后面的语句不可能推翻前面的语句，因此访问控制列表的过滤规则的放置顺序是很讲究的，不同的放置顺序会带来不同的效果。

三、技术原理；假设某公司的经理部，销售部和财务部分别属于不同的网段，出于安全考虑，公司要求经理部的网络可以访问财务部，而销售部无法访问财务部的网络，其他网络之间都可以实现互访。

访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中，即为距离被保护网络最接近的路由器上。

配置标准IP访问控制列表：1.定义标准IP访问控制列表；Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。

访问控制列表ACL及配置教程访问控制列表：ACL:(accesscontrollist)适⽤所有的路由协议：IP,IPX,AppleTalk控制列表分为两种类型：1.标准访问控制列表：检查被路由数据包的源地址、1~99代表号2.扩展访问控制列表：对数据包的源地址与⽬标地址进⾏检查。

访问控制列表最常见的⽤途是作为数据包的过滤器。

其他⽤途；可指定某种类型的数据包的优先级，以对某些数据包优先处理识别触发按需拨号路由（DDR）的相关通信量路由映射的基本组成部分ACL能够⽤来：提供⽹络访问的基本安全⼿段访问控制列表可⽤于Qos（QualityofService,服务质量）对数据流量进⾏控制。

可指定某种类型的数据包的优先级，以对某些数据包优先处理起到了限制⽹络流量，减少⽹络拥塞的作⽤提供对通信流量的控制⼿段访问控制列表对本⾝产⽣的的数据包不起作⽤，如⼀些路由更新消息路由器对访问控制列表的处理过程：（1）如果接⼝上没有ACL，就对这个数据包继续进⾏常规处理（2）如果对接⼝应⽤了访问控制列表，与该接⼝相关的⼀系列访问控制列表语句组合将会检测它：*若第⼀条不匹配，则依次往下进⾏判断，直到有⼀条语句匹配，则不再继续判断。

路由器将决定该数据包允许通过或拒绝通过*若最后没有任⼀语句匹配，则路由器根据默认处理⽅式丢弃该数据包。

*基于ACL的测试条件，数据包要么被允许，要么被拒绝。

（3）访问控制列表的出与⼊，使⽤命令ipaccess-group，可以把访问控制列表应⽤到某⼀个接⼝上。

in或out指明访问控制列表是对近来的，还是对出去的数据包进⾏控制【在接⼝的⼀个⽅向上，只能应⽤1个access-list】路由器对进⼊的数据包先检查⼊访问控制列表，对允许传输的数据包才查询路由表⽽对于外出的数据包先检查路由表，确定⽬标接⼝后才检查看出访问控制列表======================================================================应该尽量把放问控制列表应⽤到⼊站接⼝，因为它⽐应⽤到出站接⼝的效率更⾼：将要丢弃的数据包在路由器惊醒了路由表查询处理之前就拒绝它（4）访问控制列表中的deny和permit全局access-list命令的通⽤形式：Router(config)#access-listaccess-list-number{permit|deny}{testconditions}这⾥的语句通过访问列表表号来识别访问控制列表。

13。

标准访问列表的实现一．实训目的1。

理解标准访问控制列表的概念和工作原理.2。

掌握标准访问控制列表的配置方法.3。

掌握对路由器的管理位置加以限制的方法.二．实训器材及环境1．安装有packet tracer5.0模拟软件的计算机。

2．搭建实验环境如下：三．实训理论基础1．访问列表概述访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作(允许或禁止）两个内容。

访问列表应用在路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。

数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。

访问控制列表可以限制网络流量,提高网络性能,控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段.2．访问列表类型访问列表可分为标准IP访问列表和扩展IP访问列表。

标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。

扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。

3．ACL的相关特性每一个接口可以在进入（inbound)和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL。

ACL语句包括两个动作,一个是拒绝（deny）即拒绝数据包通过，过滤掉数据包，一个是允许(permit）即允许数据包通过，不过滤数据包。

在路由选择进行以前，应用在接口进入方向的ACL起作用。

在路由选择决定以后,应用在接口离开方向的ACL起作用。

每个ACL的结尾有一个隐含的“拒绝的所有数据包(deny all）”的语句.4．ACL转发的过程5．IP地址与通配符掩码的作用规32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配,通配符掩码为1的位所对应的IP地址位不必匹配。

acl访问控制列表规则ACL（Access Control List）访问控制列表是网络设备中一种非常重要的安全机制，用于控制网络流量的进出。

ACL规则是一组用于过滤网络流量的条件和动作。

本文将介绍ACL规则的概述、常见的ACL规则类型、ACL规则的格式以及编写ACL规则时需要考虑的一些关键因素。

ACL规则概述：ACL是一种在网络设备中实现流量过滤和网络访问控制的方法。

它根据预先定义的规则，对网络流量的源IP地址、目标IP地址、端口号等进行匹配，然后根据匹配结果决定是否允许流量通过。

通过配置ACL规则，网络管理员可以控制哪些流量可以进入网络，哪些流量可以离开网络，以增加网络的安全性和性能。

常见的ACL规则类型：1. 标准ACL规则：基于源IP地址来过滤流量，仅可以控制流量的进入。

2. 扩展ACL规则：可以基于源IP地址、目标IP地址、协议、端口号等多个条件来过滤流量，可以控制流量的进入和离开。

3. 命名ACL规则：可以给ACL规则设置名称，方便管理和维护。

ACL规则格式：ACL规则的格式通常包括以下几个部分：1. 序号：每条ACL规则都有一个唯一的序号，用于确定规则的优先级。

序号从1开始，按照递增的顺序执行规则。

2. 条件：ACL规则的条件部分描述了要匹配的流量的属性。

常见的条件包括源IP地址、目标IP地址、协议、端口号等。

3. 动作：ACL规则的动作部分描述了匹配条件后执行的操作。

常见的动作包括拒绝（Deny）和允许（Permit）。

编写ACL规则的关键因素：1. 流量方向：明确规定ACL规则是用于控制流量的进入还是离开。

2. 条件的选择：根据实际需求选择合适的条件，例如源IP地址、目标IP地址、协议、端口号等。

3. 规则的顺序：根据实际需求合理排序ACL规则，确保执行的顺序正确。

4. 规则的优先级：根据ACL规则的序号确定规则的优先级，越小的序号优先级越高。

5. 记录和审查：记录ACL规则的变更和审查规则的有效性是一个重要的管理步骤。

access-list（访问控制列表的配置）示例：编号方式标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

）◆允许172.17.31.222通过，其他主机禁止Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222◆禁止172.17.31.222通过,其他主机允许Cisco-3750(config)#access-list 1 deny host 172.17.31.222Cisco-3750(config)#access-list 1 permit any◆允许172.17.31.0/24通过,其他主机禁止Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255）◆禁止172.17.31.0/24通过,其他主机允许Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254Cisco-3750(config)#access-list 1 permit any二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。

例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。

ACL标准访问控制列表本实现目的是pc0能够访问pc2,但pc1不能访问pc2.Pc0:172.16.1.2255.255.255.0172.16.1.1Pc1:172.16.2.2255.255.255.0172.16.2.1Pc2172.16.4.2255.255.255.0172.16.4.1第一步：配置各端口IP地址。

对路由器R0进行配置：Router>enableRouter#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R0R0(config)#interface fa 0/0R0(config-if)#ip address 172.16.1.1 255.255.255.0R0(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR0(config-if)#exitR0(config)#interface fa 1/0R0(config-if)#ip address 172.16.2.1 255.255.255.0R0(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to upR0(config-if)#exitR0(config)#interface serial 2/0R0(config-if)#ip address 172.16.3.1 255.255.255.0R0(config-if)#no shutdown%LINK-5-CHANGED: Interface Serial2/0, changed state to downR0(config-if)#clock rate 64000R0(config-if)#endR0#%SYS-5-CONFIG_I: Configured from console by consoleR0#对路由器R1进行配置：Router>enableRouter#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R1R1(config)#interface serial 2/0R1(config-if)#ip address 172.16.3.2 255.255.255.0R1(config-if)#no shutdown%LINK-5-CHANGED: Interface Serial2/0, changed state to upR1(config-if)#interface fa0/0%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to upR1(config-if)#exitR1(config)#interface fa0/0R1(config-if)#ip address 172.16.4.1 255.255.255.0R1(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR1(config-if)#endR1#%SYS-5-CONFIG_I: Configured from console by consoleR1#第二步：路由表配置在R0上配置静态路由R0#config terminalEnter configuration commands, one per line. End with CNTL/Z.R0(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2R0(config)#endR0#%SYS-5-CONFIG_I: Configured from console by consoleR0#在R1上配置缺省路由：R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1R1(config)#endR1#%SYS-5-CONFIG_I: Configured from console by consoleR1#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is 172.16.3.1 to network 0.0.0.0172.16.0.0/24 is subnetted, 2 subnetsC 172.16.3.0 is directly connected, Serial2/0C 172.16.4.0 is directly connected, FastEthernet0/0S* 0.0.0.0/0 [1/0] via 172.16.3.1R1#在PC0上进行测试：Packet Tracer PC Command Line 1.0PC>ping 172.16.4.2Pinging 172.16.4.2 with 32 bytes of data:Request timed out.Reply from 172.16.4.2: bytes=32 time=94ms TTL=126Reply from 172.16.4.2: bytes=32 time=94ms TTL=126Reply from 172.16.4.2: bytes=32 time=93ms TTL=126Ping statistics for 172.16.4.2:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),Approximate round trip times in milli-seconds:Minimum = 93ms, Maximum = 94ms, Average = 93msPC>发现是通的在PC1上进行测试：Packet Tracer PC Command Line 1.0PC>ping 172.16.4.2Pinging 172.16.4.2 with 32 bytes of data:Reply from 172.16.4.2: bytes=32 time=125ms TTL=126Reply from 172.16.4.2: bytes=32 time=94ms TTL=126Reply from 172.16.4.2: bytes=32 time=93ms TTL=126Reply from 172.16.4.2: bytes=32 time=78ms TTL=126Ping statistics for 172.16.4.2:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 78ms, Maximum = 125ms, Average = 97msPC>发现也是通的。

网络路由技术中的访问控制列表配置指南一、什么是访问控制列表在网络系统中，为了保护网络的安全性和保密性，访问控制列表（Access Control List，简称ACL）得以广泛应用于路由器等设备上。

访问控制列表是一种用于限制和管理网络流量的工具，它可以根据一定的条件（如源IP地址、目的IP地址、传输层端口等）对网络流量进行过滤和控制。

通过ACL的配置，对网络流量进行筛选，可以提高网络的安全性和性能。

二、ACL的基本配置ACL的配置包括访问控制列表的规则和应用规则的逻辑顺序两个部分。

1. ACL规则的配置（1）目标地址规则：目标地址规则用于限制接收或发出某一特定目标IP地址的数据包。

可以配置具体的目标IP地址，也可以使用通配符进行模糊匹配，从而对目标地址进行限制。

（2）源地址规则：源地址规则用于限制数据包的来源地址。

与目标地址规则类似，可以对源IP地址进行具体匹配或模糊匹配。

（3）传输层规则：传输层规则是对源端口和目标端口的限制，常用于限制特定的协议或应用程序。

例如，可以通过设置源端口为80和目标端口为443来阻止HTTP流量，只允许HTTPS流量通过。

2. 应用规则的逻辑顺序在进行ACL规则配置之前，需要考虑规则的逻辑顺序。

由于ACL的规则是按照先后顺序逐条匹配和执行的，因此需要合理地设置规则的顺序，以避免冲突和重复匹配。

通常，应将最频繁匹配的规则放在靠前的位置，这样可以减少匹配次数，提高性能。

三、ACL的高级配置除了基本配置之外，ACL还可以进行更加复杂和精细的配置，以满足网络的特定需求。

1. 使用掩码进行地址匹配ACL的地址匹配可以通过掩码来实现。

掩码是一种二进制数，用于指示哪些位需要进行匹配，哪些位不需要进行匹配。

通过使用掩码，可以灵活地对IP地址进行匹配，提高匹配的准确性。

2. 配置时间段ACL还可以根据时间段进行控制，以实现更加精细的访问控制。

例如，可以在工作时间段内限制某些网站的访问，而在非工作时间段允许访问。

实验十标准访问控制列表配置
实验目的
掌握路由器上标准IP访问控制列表规则及配置
实验原理
IP ACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。

IP ACL分为两种：标准IP访问控制列表和扩展IP访问列表。

标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。

扩展IP访问列表可以根据数据包的源IP，目的IP，源端口，目的端口，协议来定义规则，进行数据包的过滤。

IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用。

入栈应用是指由外部经该接口进行路由器的数据包进行过滤。

出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。

IP ACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1-99，1300-1999，扩展IP访问列表编号范围是100-199，2000-2699。

实现功能
实现网段间互相访问的安全控制.
（1）允许172.16.1.0/24网段的主机访问PC3
（2）拒绝172.16.2.0/24网段的主机访问PC3
实验拓扑。

标准访问控制列表配置实训一、实验目的本实训旨在让学生掌握标准访问控制列表的配置方法，理解其工作原理，并能够根据实际需求进行正确的配置。

二、实验设备1. 路由器或交换机2. 计算机或笔记本3. 网络线4. 模拟软件（如GNS3）三、实验步骤与配置示例步骤1：设备连接与基本配置1. 在模拟软件GNS3中，拖拽一个路由器图标并连接到两台计算机，分别命名为Router1和Router2。

2. 启动Router1和Router2，并进入命令行界面。

3. 对两台设备进行基本配置，包括设置主机名、IP地址等。

示例：Router1：Router>enableRouter#configure terminalRouter(config)#hostname Router1Router1(config)#ip dhcp pool pool1Router1(config)#ip dhcp pool pool2Router1(config)#interface GigabitEthernet0/0Router1(config-if)#ip address 192.168.1.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#interface GigabitEthernet0/1Router1(config-if)#ip address 192.168.2.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254步骤2：配置标准访问控制列表（ACL）1. 在Router1上创建一个标准访问控制列表（ACL），允许源IP为192.168.1.0/24的数据包访问目标IP为192.168.2.0/24的数据包。

任务12 配置标准访问控制列表（ACL）一、【技术原理】ACL 定义了一组规则，用于对进入入站接口的数据包、通过路由器中继的数据包，以及从路由器出站接口输出的数据包施加额外的控制。

入站ACL 传入数据包经过处理之后才会被路由到出站接口。

入站ACL 非常高效，如果数据包被丢弃，则节省了执行路由查找的开销。

当测试表明应允许该数据包后，路由器才会处理路由工作。

最后一条隐含的语句适用于不满足之前任何条件的所有数据包。

这条最后的测试条件与这些数据包匹配，并会发出“拒绝”指令。

此时路由器不会让这些数据进入或送出接口，而是直接丢弃它们。

最后这条语句通常称为“隐式deny any 语句”或“拒绝所有流量”语句。

由于该语句的存在，所以ACL 中应该至少包含一条permit 语句，否则ACL 将阻止所有流量。

二、【任务描述】某公司财务部、销售部分属同一个路由器下两个不同的网段，用来两个部门可以互相通信，现要求销售部不能访问财务部的计算机，在路由器上作适当的配置，满足上述要求。

三、【任务实现】1、规划拓扑结构实验教学要求所需的最简设备：1台路由器、2台PC机、连线。

运行Packet Tracer，在Packet Tracer桌面的工作区绘制网络拓扑图，将选择的设备和线缆拖动到工作区里。

如网络拓扑图所示。

2、完成ACL的配置（1）路由器：Router>enableRouter#configure terminal1）配置端口Router(config)#interface fastEthernet 0/0Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#interface fastEthernet 0/1Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exit2）创建访问列表Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255!建立标准访问列表，编号取值：1~99。

网络管理从入门到精通（第3版）368Show ip interface 命令提供了接口配置的IP 指定方面的信息。

它被专用来查询应用于接口的数据包过滤。

它并不显示访问控制列表的内容，而只有访问控制列表的号码，如图10-7所示。

图10-7 验证端口的IP 配置10.4 配置标准访问控制列表的注意事项前面三节介绍了标准、扩展和命名访问控制列表，本节介绍应用访问控制列表的一些注意事项。

1．标准列表要应用在靠近目标端标准访问控制列表究竟用在哪台设备上，用在哪个接口上，还是用在哪个方向上是有区别的。

标准的访问控制列表只能针对源地址进行控制，10.1.2节中把12.1.1.1作为源地址，R3就成为目标地址，数据流的方向就是从左到右，如图10-8所示。

从R1到R3，数据包共经过了4个接口，如果用在R1的S1/1端口，方向应该是out ；如果用在R2的S1/0端口，方向应该是in ；如果用在R2的S1/1端口，方向应该是out ；如果用在R3的S1/0端口，方向应该是in 。

接下来分析把列表分别用在4个端口上的区别，可以通过实验来验证下面的结论。

如果用在R1的S1/1端口，方向是out 。

结果将不起作用，原因是访问控制列表仅对穿越路由器的数据包进行过滤，对本路由器起源的数据包不进行过滤。

图10-8 数据流的方向如果用在R2的S1/0端口，方向是in 。

结果起作用，R1不能访问R3了，可R1也不能访问R2了，因为标准访问控制列表只能针对源地址，当R1访问R2的数据包进入路由器R2的S1/0端口时，源地址不符合，数据包被丢弃。

如果用在R2的S1/1端口，方向是out 。

结果正确。

标准acl 扩展acl标准ACL（Access Control List）和扩展ACL是网络安全中常用的两种访问控制列表，用于控制网络设备上的数据流向和访问权限。

本文将对标准ACL和扩展ACL进行详细介绍，并比较它们之间的区别和适用场景。

ACL是一种基于规则的访问控制机制，通过在路由器、交换机等网络设备上配置ACL规则，可以限制数据包的流向和访问权限。

ACL可以根据源IP地址、目标IP地址、协议类型、端口号等条件对数据包进行过滤和控制，从而提高网络的安全性和管理效率。

首先，我们来介绍标准ACL。

标准ACL是最简单的一种ACL类型，它只能根据源IP地址来匹配数据包，并根据匹配结果决定是否允许数据包通过。

标准ACL的配置范围是1-99和1300-1999，其中1-99用于过滤IPV4数据包，1300-1999用于过滤IPV6数据包。

标准ACL通常用于实现简单的访问控制策略，比如限制某些特定的IP地址访问网络设备或特定的网络服务。

与标准ACL相对应的是扩展ACL。

扩展ACL可以根据源IP地址、目标IP地址、协议类型、端口号等多种条件对数据包进行匹配，并根据匹配结果决定是否允许数据包通过。

扩展ACL的配置范围是100-199和2000-2699，其中100-199用于过滤IPV4数据包，2000-2699用于过滤IPV6数据包。

扩展ACL相对于标准ACL来说，能够实现更加灵活和精细化的访问控制策略，因此在实际应用中更加常见。

在实际应用中，我们应该根据具体的网络环境和安全需求来选择合适的ACL类型。

如果只需要简单地限制某些特定的IP地址访问网络设备或特定的网络服务，可以选择标准ACL；如果需要实现更加灵活和精细化的访问控制策略，可以选择扩展ACL。

另外，我们还需要注意ACL的配置顺序，因为ACL是按照配置顺序逐条匹配的，所以配置顺序的不当可能会导致意外的网络访问问题。

总之，标准ACL和扩展ACL是网络安全中常用的两种访问控制列表，它们可以帮助我们实现对网络数据流向和访问权限的精细化控制。

交换机标准访问控制列表的建立及应用大家好，今天我们来学习交流一下Cisco交换机标准访问控制列表的建立及应用。

访问控制主要是保证网络安全的一种策略方法，它起到控制流量和流向的作用，可以起到保护网络内服务器及核心设备的安全。

通过访问控制列表可以指定路由对数据包的过滤，对那些数据接收，哪些数据拒绝。

这些都由特定指示条件来完成。

通过本文实验，主要了解为以下几点1、了解 IP标准访问控制列表的功能及用途；2、掌握交换机标准访问控制列表配置技能。

实验参考配置命令1、定义访问控制列表Switch(config)#access-list 1 deny 192.168.1.0 0.0.0.255 //定义拒绝 192.168.1.0 网段控制列表Switch(config)#access-list 1 permit any //定义允许除192.168.1.0 网段之外的控制列表Switch(config)#access-list 2 permit 192.168.1.0 0.0.0.255 // 定义允许 192.168.1.0网段控制列表2、应用访问控制列表Switch(config)#interface Vlan2Switch(config-if)#ip address 192.168.1.1 255.255.255.0Switch(config-if)#ip access-group 1 in或Switch(config-if)#ip access-group 2 out实验环境1、Cisco3560 交换机 2 台；2、计算机2 台；3、Console 电缆 1 条、直通线 2 条、交叉线1 条。

实验拓扑实验内容1、在两台交换机上配置管理IP，分别为：192.168.1.10 和192.168.1.20。

在交换机上定义一个标准禁止访问控制列表，方向为in ，应用到 PC1 的接入端口上，定义 IP为：192.168.1.100 的机器不能访问 PC2，再定义一个IP为：192.168.1.99的机器能够访问 PC2，PC2 的IP地址为：192.168.1.200，改变PC1 的IP地址进行测试，ping 管理 IP和 PC2，观察测试结果。