基本ACL及扩展ACL的配置

ACL命令——H3C交换机（基本ACL）展开全文ACL命令——H3C交换机（基本ACL）1、acl命令用于创建一条ACL，并进入相应的ACL视图。

undo acl命令用于删除指定的ACL，或者删除全部ACL。

ACL支持两种匹配顺序，如下所示：1、配置顺序：根据配置顺序匹配ACL规则。

2、自动排序：根据“深度优先”规则匹配ACL规则。

“深度优先”规则说明如下：1、基本ACL的深度优先以源IP地址掩码长度排序，掩码越长的规则位置越靠前。

排序时比较源IP地址掩码长度，若源IP地址掩码长度相等，则先配置的规则匹配位置靠前。

例如，源IP地址掩码为255.255.255.0的规则比源IP地址掩码为255.255.0.0的规则匹配位置靠前。

2、高级ACL的深度优先以源IP地址掩码和目的IP地址掩码长度排序，掩码越长的规则位置越靠前。

排序时先比较源IP地址掩码长度，若源IP地址掩码长度相等，则比较目的IP地址掩码长度；若目的IP地址掩码长度也相等，则先配置的规则匹配位置靠前。

例如，源IP 地址掩码长度相等时，目的IP地址掩码为255.255.255.0的规则比目的IP地址掩码为255.255.0.0的规则匹配位置靠前。

可以使用match-order指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序（优先匹配范围小的规则），如果不指定则缺省为用户配置顺序。

用户一旦指定一条ACL的匹配顺序后，就不能再更改，除非把该ACL规则全部删除，再重新指定其匹配顺序。

ACL的匹配顺序特性只在该ACL被软件引用进行数据过滤和分类时有效。

【举例】# 定义ACL 2000的规则，并定义规则匹配顺序为深度优先顺序。

<H3C> system-viewSystem View: return to User View with Ctrl+Z.[H3C] acl number 2000 match-order auto[H3C-acl-basic-2000]2、description命令用来定义ACL的描述信息，描述该ACL的具体用途。

ACL配置规范：ACL分类：第一类是：基本ACL1.标准ACL的编号范围：1-99和1300-1999；2.标准ACL只匹配源ip地址3.ACL的匹配顺序为从上往下（ACE序号从小到大）匹配ACE条目，若匹配对应的ACE条目后，就执行该ACE条目的行为（允许/拒绝），不会再往下匹配其他ACE条目。

4.ACL最后隐含一体deny any的ACE条目，会拒绝所有流量。

若是禁止某网段访问，其他网段均放通，则应该在拒绝流量的ACE配置完成后，再加一条permit any的ACE条目，用来放行其他流量。

第二类是：扩展ACL1.扩展ACL的编号范围：100-199和2000-2699。

2.标准ACL只匹配源ip地址，扩展ACL可以匹配数据流的五大元素（源ip地址、目的ip地址、源端口、目的端口、协议号）3.ACL的匹配顺序为从上往下（ACE序号从小到大）匹配ACE条目，若匹配对应的ACE条目后，就执行该ACE条目的行为（允许/拒绝），不会再往下匹配其他ACE条目。

4.ACL最后隐含一体deny any的ACE条目，会拒绝所有流量。

若是禁止某网段访问，其他网段均放通，则应该在拒绝流量的ACE配置完成后，再加一条permit any的ACE条目，用来放行其他流量。

ACL规划：标准ACL总体规划如下:ACL范围编号用户备注2000-2099 业务设备访问控制通用ACL2100-2199 数据存储访问控制通用ACL2200-2299 测试用户访问控制通用ACL2300-2399 管理用户访问控制通用ACL2400-2500 预留注释：通用ACL即是一类用户的接口都调用的ACL.扩展ACL总体规划如下：ACL范围编号用户备注2000-2099 业务设备访问控制通用ACL2100-2199 数据存储访问控制通用ACL2200-2299 测试用户访问控制通用ACL2300-2399 管理用户访问控制通用ACL2400-2500 预留ACL规范：ACL命名规范：为了便于ACL的管理和检索，新增ACL命名规范需要统一制定规范，命名规范如下：公式：XXX_YY_Z各字段含义如下：✓XXX：所属部门名称单字的首拼音大写，如委办局则为WBJ；✓YY：区分不同的部门，如果为VLAN_10使用，则XX字段为10。

第1章ACL简介1.1 ACL概述网络设备为了过滤数据，需要设置一系列匹配规则，以识别需要过滤的对象。

在识别出特定的对象之后，根据预先设定的策略允许或禁止相应的数据包通过。

ACL（Access Control List）可用于实现这些功能。

ACL（访问控制列表）是一种对经过网络设备的数据流进行判断、分类和过滤的方法。

通常我们使用ACL实现对数据报文的过滤、策略路由以及特殊流量的控制。

一个ACL中可以包含一条或多条针对特定类型数据包的规则，这些规则告诉网络设备，对于与规则中规定的选择标准相匹配的数据包是允许还是拒绝通过。

由ACL定义的数据包匹配规则，还可以被其它需要对流量进行区分的场合引用，如防火墙、QOS与队列技术、策略路由、数据速率限制、路由策略、NAT等。

1.2 ACL分类访问控制列表分为多种类型：1．基本ACL：只对源IP地址进行匹配。

2．扩展ACL：对源IP地址、目的IP地址、IP协议类型、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号、ICMP类型、ICMP Code、DSCP（DiffServ CodePoint）、ToS、Precedence进行匹配。

3．二层ACL：对源MAC地址、目的MAC地址、源VLAN ID、二层以太网协议类型、802.1p 优先级值进行匹配。

4．混合ACL：对源MAC地址、目的MAC地址、源VLAN ID、源IP地址、目的IP地址、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号进行匹配。

5．用户自定义ACL：对VLAN TAG的个数和偏移字节进行匹配。

1.3 ACL工作流程下面以路由器为例说明ACL的基本工作过程。

制定的，则图1.3-2 应用于入接口的ACL当ACL应用在入接口上时，工作流程如下：当路由器的接口接收到一个数据包时，首先会检查访问控制列表，如果执行控制列表中有拒绝和允许的操作，则被拒绝的数据包将会被丢弃，允许的数据包进入路由选择状态。

华为基本ACL的编号范围1. 什么是ACL？ACL（Access Control List）即访问控制列表，是一种用于网络设备中实现安全策略的技术。

ACL可以根据源IP地址、目的IP地址、协议类型、端口号等条件对数据包进行过滤和控制，从而限制网络流量的进出。

华为基本ACL是华为公司在其网络设备上实现的一种基本访问控制列表。

它允许管理员通过配置规则来限制或允许特定类型的数据包通过网络设备。

2. 华为基本ACL编号范围在华为设备上，每个ACL规则都有一个唯一的编号，用于标识该规则。

华为基本ACL规则的编号范围是1-3999。

其中，1-199表示标准ACL规则，200-299表示扩展ACL规则，300-399表示高级ACL规则。

2.1 标准ACL标准ACL是最简单和最常用的一种ACL类型。

它只能根据源IP地址来过滤数据包，并且只能对IP头部进行匹配操作。

标准ACL规则的编号范围是1-199。

管理员可以根据需要自定义标准ACL规则，并按照编号顺序配置到网络设备中。

以下是一个示例标准ACL配置：acl number 10rule 10 permit source 192.168.1.0 0.0.0.255rule 20 deny source any上述配置中，ACL编号为10的标准ACL规则允许源IP地址为192.168.1.0/24的数据包通过，拒绝其他源IP地址的数据包通过。

2.2 扩展ACL扩展ACL相比标准ACL更为灵活，可以根据源IP地址、目的IP地址、协议类型、端口号等条件来过滤数据包，并且可以对TCP和UDP头部进行精确匹配操作。

扩展ACL规则的编号范围是200-299。

管理员可以根据需要自定义扩展ACL规则，并按照编号顺序配置到网络设备中。

以下是一个示例扩展ACL配置：acl number 2000rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination any eq wwwrule 10 deny ip source any destination any上述配置中，ACL编号为2000的扩展ACL规则允许源IP地址为192.168.1.0/24、目的端口号为80（HTTP）的TCP数据包通过，拒绝其他类型的数据包通过。

H3C ACL介绍及配置ACL配置（一般在路由器防火墙等设备上做设置）：ACL配置分类：基本ACL：编号范围2000-2999扩展或高级ACL：编号：3000-3999二层ACL：编号：4000-4999自定义ACL：编号：5000-5999[sys] firewall enable 开启过滤防火墙(在路由器和防火墙上使用) [sys] firewall default permit | deny 修改缺省规则（默认是permit）[sys] acl number xxxx根据实际情况选择ACL类别[sys-acl-basic-2000] rule (rule ID 规则编号可选) deny | permit source ip 地址反掩码[sys] int e0/1/2[sys-ethernet0/1/1] firewall packet-filter acl编号inbound | outbound 在接口应用ACL[sys] dispaly acl all 查看配置的ACL信息[sys] dis firewall-statistics all 查看防火墙统计信息<sys>reset firewall-statistics all 清除防火墙统计信息<sys> resetacl counter acl编号/all 清除ACL统计信息ACL规则匹配顺序：ACL支持两种顺序：config配置顺序（按照手动配置的先后顺序进行匹配）和auto 自动排序（按照深度优先的顺序进行匹配，即地址范围小的规则被优先进行匹配）默认的顺序是CONFIG（配置顺序）修改默认的匹配顺序：[sys] acl number ACL编号match-order auto | config基本ACL的“深度优先”顺序判断原则：1、先比较源IP地址范围，源IP地址范围越小（反掩码中“0”位的数量越多）的规则优先2、如果源IP地址范围相同，则先配置的规则优先高级ACL的“深度优先”顺序判断原则：1、先比较协议范围，指定了IP协议承载的协议类型的规则优先2、如果协议相同，则比较源IP地址，源IP地址范围越小的规则优先3、如果源IP地址相同，则比较目标地址范围，目标IP地址范围越小的规则优先4、如果目标IP地址相同，则比较第四层端口号（TCP/UDP端口号）范围，四层端口号范围小的规则优先5、如果上述范围都相同，则先配置的规则优先网络中配置ACL的原则：1、基本ACL应在不影响其他合法访问的情况下，尽可能使ACL靠近被过滤的源2、高级ACL应尽量靠近被过滤的源端口上应用ACLACL包过滤防火墙是静态防火墙，动态可以应用ASPF，基于应用层状态的包过滤>二层ACL里要写掩码，那么表示单个主机就是FFFF-FFFF-FFFF，所有主机就是0000-0000-0000。

交换机扩展ACL基本配置一、复习标准ACL配置1、标准ACL配置过程(1)定义标准ACL：access-list 数字标号 {deny|permit} <源网络号> <反掩码>(3)应用到VLAN虚接口：ip access-group 数字标号 out2、按下列要求写出配置命令序列(1)拒绝网络3内的所有计算机访问网络1(2)拒绝主机PC1访问网络1二、授新课标准ACL(访问控制列表)只能从源端控制网络中计算机的所有网络行为，如果从数据包的目标端或数据包中所请求的服务类型来控制网络行为，需要使用到扩展访问列表。

配置扩展访问列表的过程如下：1、定义扩展ACL规则：access-list 数字标号 {deny | permit} 协议 <源网络号> <反掩码> [sPort <源端口>] host IP地址 [dPort <目标端口号>]2、绑定到端口或VLAN虚接口：ip access-group 数字标号 in注意：扩展ACL的应用要尽量靠近源端。

扩展ACL的数字标号必须在100－199之间。

例：按下列结构图组网，并完成相关要求的配置。

1、下表配置VLAN2、在PC2中运行Windows2003虚拟机，并配置FTP服务(只要求能够提供匿名下载即可)和WEB服务。

3、测试PC1和PC2之间的连通性，PC1能否正确访问PC2中的2个服务？4、拒绝PC1所在网络访问PC2所在的网络。

5、取消以上一题的ACL应用6、拒绝PC1所在网络访问PC2虚拟机中的FTP服务，并测试配置是否成功？7、拒绝PC1所在网络访问PC2虚拟机中的WEB和FTP服务，并测试配置是否成功？作业：按下列拓扑结构图写出相关配置命令1、下表配置VLAN2、拒绝PC1所在网络访问PC2所在的网络。

3、拒绝PC1所在网络访问PC2虚拟机中的WEB和FTP服务。

交换机ACL原理及配置详解ACL原理：1.ACL是根据网络层和传输层的源IP地址、目标IP地址、源端口和目标端口来过滤和控制数据包的流动。

ACL通常运行在网络设备如路由器和交换机上。

2.数据包进入路由器或交换机时，会依次通过ACL规则进行匹配，如果匹配成功，则根据规则进行相应的操作，如允许或阻止数据包的流动。

3.ACL规则通常由管理员根据特定的网络需求来制定，这些规则可以基于用户、服务、时间、应用程序和网络地址等多个因素进行设置。

4.ACL可以分为两类：标准ACL和扩展ACL。

标准ACL基于源IP地址来匹配和过滤数据包，而扩展ACL可以基于源IP地址、目标IP地址，以及源和目标端口来匹配和过滤数据包。

5.ACL规则通常包括一个许可或拒绝的操作，如果数据包匹配了ACL规则，则可以允许数据包继续传输，或者阻止数据包通过。

6.ACL可以应用在接口的入向或出向方向上，以实现不同方向上的数据过滤。

ACL配置详解：1.登录到交换机的命令行界面，进入特权模式。

2.进入接口配置模式，选择你要配置ACL的接口。

3. 使用命令`access-list`建立ACL列表，并设置允许或拒绝的条件。

例如：```access-list 10 permit 192.168.0.0 0.0.0.255```这个命令将允许源IP地址在192.168.0.0/24范围内的数据包通过。

4. 将ACL应用于接口，以实现过滤。

使用命令`ip access-group`将ACL应用于接口的入向或出向方向上。

例如：```ip access-group 10 in```这个命令将ACL10应用于接口的入向方向。

5.对于扩展ACL，可以使用更复杂的规则进行配置。

例如：```access-list 101 permit tcp any host 192.168.0.1 eq 80```这个命令将允许任何TCP数据包从任意源IP地址流向目标IP地址为192.168.0.1的主机，并且端口号为80。

标准ACL、扩展ACL和命名ACL的配置详解访问控制列表(ACL)是应⽤在路由器接⼝的指令列表(即规则)。

这些指令列表⽤来告诉路由器，那些数据包可以接受，那些数据包需要拒绝。

访问控制列表(ACL)的⼯作原理ACL使⽤包过滤技术，在路由器上读取OSI七层模型的第3层和第4层包头中的信息。

如源地址，⽬标地址，源端⼝，⽬标端⼝等，根据预先定义好的规则，对包进⾏过滤，从⽽达到访问控制的⽬的。

ACl是⼀组规则的集合，它应⽤在路由器的某个接⼝上。

对路由器接⼝⽽⾔，访问控制列表有两个⽅向。

出：已经过路由器的处理，正离开路由器的数据包。

⼊：已到达路由器接⼝的数据包。

将被路由器处理。

如果对路由器的某接⼝应⽤了ACL，那么路由器对数据包应⽤该组规则进⾏顺序匹配，使⽤匹配即停⽌的，不匹配则使⽤默认规则的⽅式来过滤数据包。

如下图：访问控制列表的类型标准访问控制列表：根据数据包的源IP地址来允许或拒绝数据包，标准访问控制列表的访问控制列表号是1-99。

扩展访问控制列表：根据数据包的源IP地址，⽬的IP地址，指定协议，端⼝和标志，来允许或拒绝数据包。

扩展访问控制列表的访问控制列表号是100-199配置标准控制列表创建标准ACL的语法如下：Router(config)#access-list access-list-number {permit|deny} source [souce-wildcard]下⾯是命令参数的详细说明access-list-number：访问控制列表号，标准ACL取值是1-99。

permit|deny：如果满⾜规则，则允许/拒绝通过。

source：数据包的源地址，可以是主机地址，也可以是⽹络地址。

source-wildcard：通配符掩码，也叫做反码，即⼦⽹掩码去反值。

如：正常⼦⽹掩码255.255.255.0取反则是0.0.0.255。

删除已建⽴的标准ACL语法如下：Router(config)#no access-list access-list-number列如：创建⼀个ACL允许192.168.1.0⽹段的所有主机。

ACL配置规则与端口使用规则一、ACL配置规则概述1.什么是ACL（Access Control List）？–ACL是一种网络安全设备用于控制和管理网络流量的策略工具。

2.ACL的作用–通过规定网络上设备的进出规则，限制用户对网络资源的访问权限。

3.ACL的分类–标准ACL–扩展ACL–常用ACL二、标准ACL规则与配置1.标准ACL的基本特点–使用源IP地址进行过滤，无法过滤目标IP地址和端口号。

2.标准ACL的应用场景–限制特定IP地址或地址段的访问权限。

3.标准ACL的配置方法1.进入特定路由器的配置模式。

2.创建一个标准ACL。

3.定义ACL规则，包括允许或拒绝特定IP地址。

4.将ACL应用到接口上。

三、扩展ACL规则与配置1.扩展ACL的基本特点–使用源IP地址、目标IP地址、协议类型和端口号进行过滤。

2.扩展ACL的应用场景–根据具体的源和目标IP地址以及端口号来限制访问权限。

3.扩展ACL的配置方法1.进入特定路由器的配置模式。

2.创建一个扩展ACL。

3.定义ACL规则，包括允许或拒绝特定IP地址和端口号。

4.将ACL应用到接口上。

四、常用ACL规则配置示例1.打开特定端口–允许某个IP地址通过特定端口访问设备。

2.屏蔽特定IP地址–阻止某个IP地址访问设备。

3.防火墙配置–创建ACL规则，限制外部网络对内部网络的访问。

五、端口使用规则1.端口分类–知名端口（0-1023）–注册端口（1024-49151）–动态/私有端口（49152-65535）2.端口的作用–用于标识网络应用程序或服务。

3.端口使用规则–不同端口号对应不同网络服务。

–高端口号用于动态分配。

–常用端口号的列表。

六、ACL配置规则与端口使用规则的关系1.ACL与端口的关系–ACL可根据端口号进行过滤，限制特定端口的访问权限。

2.端口使用规则在ACL配置中的应用–ACL可根据端口号实现对不同网络服务的控制。

–根据端口使用规则设置ACL规则，保护网络安全。

acl的分类以及匹配规则ACL（Access Control List）是一种用于网络设备和系统的访问控制机制，用于定义和控制网络资源的访问权限。

根据不同的分类和匹配规则，ACL可以实现对网络流量的过滤、控制和管理。

本文将介绍ACL的分类以及常用的匹配规则。

一、ACL的分类1. 标准ACL（Standard ACL）标准ACL基于源IP地址进行匹配，只能控制数据包的源地址。

它是最基础的ACL类型，适用于简单网络环境。

标准ACL的匹配规则是按照源IP地址进行匹配，如果源IP地址与ACL中的规则匹配，则进行相应的操作。

2. 扩展ACL（Extended ACL）扩展ACL不仅可以基于源IP地址进行匹配，还可以基于目的IP地址、协议类型、端口号等更多的条件进行匹配。

扩展ACL相对于标准ACL来说更加灵活，可以实现更精细的访问控制。

3. 命名ACL（Named ACL）命名ACL是为了方便管理和配置ACL而引入的一种ACL类型。

它可以使用名称来标识ACL规则，而不是使用ACL号码。

命名ACL 可以同时包含标准ACL和扩展ACL规则。

二、ACL的匹配规则1. 按源IP地址匹配ACL可以根据源IP地址来匹配网络流量。

例如，可以配置ACL规则，允许特定的源IP地址访问某个网络资源，而禁止其他源IP地址的访问。

2. 按目的IP地址匹配ACL也可以根据目的IP地址来匹配网络流量。

通过配置ACL规则，可以限制特定的目的IP地址访问某个网络资源，从而实现对特定主机或网络的保护。

3. 按协议类型匹配ACL可以根据协议类型来匹配网络流量。

例如，可以配置ACL规则，只允许ICMP协议的流量通过，而阻止其他协议类型的流量。

4. 按端口号匹配ACL也可以根据端口号来匹配网络流量。

通过配置ACL规则，可以限制特定端口号的访问，从而实现对特定服务的控制。

5. 按时间范围匹配ACL还可以根据时间范围来匹配网络流量。

通过配置ACL规则，可以在特定的时间段内允许或禁止特定的网络流量通过。

华为ACL配置全解教程一、什么是ACLACL（Access Control List）是一种用于控制网络访问的策略工具，可以限制特定网络流量的进出。

ACL通过定义规则，决定允许或拒绝特定IP地址、协议、端口号或应用程序访问网络的能力。

二、ACL的分类1.基于方向的分类：-入方向：指进入设备的数据流量。

-出方向：指离开设备的数据流量。

2.基于分类方式的分类：-标准ACL：仅根据源IP地址或目标IP地址进行过滤。

-扩展ACL：除源IP地址和目标IP地址外，还可以根据端口号、协议类型、标志位等进行过滤。

三、ACL的配置指南1.进入全局配置模式：```[Huawei] system-view```2.创建ACL：```[Huawei] acl number 2000```其中，2000为ACL的编号。

```[Huawei-acl-basic-2000] rule 10 deny source 192.168.0.00.0.0.255```该命令表示在ACL2000中添加一条规则，拒绝源IP地址为192.168.0.0/24的流量。

规则可以根据实际需求，设置允许或拒绝特定的IP地址、协议、端口号等。

4.设置允许的流量：```[Huawei-acl-basic-2000] rule 20 permit source any```该命令表示在ACL2000中添加一条规则，允许任意源IP地址的流量。

5.配置ACL应用：```[Huawei] interface gigabitethernet 0/0/1[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl2000```该命令表示在接口GigabitEthernet0/0/1上应用入方向的ACL 2000。

四、实例下面是一个示例，展示如何通过ACL配置，限制一些IP地址访问设备：1.创建ACL：```[Huawei] acl number 2000``````[Huawei-acl-basic-2000] rule 10 deny source 192.168.0.10.0.0.0```3.设置允许的流量：```[Huawei-acl-basic-2000] rule 20 permit source any```4.配置ACL应用：```[Huawei] interface gigabitethernet 0/0/1[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl2000```这样，ACL 2000就应用在接口GigabitEthernet0/0/1的入方向上了。

路由策略ACL一、策略介绍1、ACL：访问控制列表2、过滤流量（在网络通的情况下，使网络不通）3、ACL动作：①允许（permit）②拒绝（deny）4、ACL范围：①基本ACL ②扩展ACL5、ACL的掩码简称通配符≈反向掩码6、调用地方接口上：①in（入口）②out（出口）二、ACL介绍1、基本ACL：只能基于源IP定义流量范围（粗糙）表号（1～99，1300～1999）2、扩展ACL：可以基于源IP、目的IP、协议、端口号定义流量范围（详细）表号（100～199，2000～2699）3、ACL特点：①默认拒绝所有、至少出现一个permit（允许）条目②ACL查表是按顺序的，自上而上匹配三、ACL配置命令1、基本ACL配置：①access-list 1(表号) deny 源IP＋反向掩码：定义要拒绝访问的IP②access-list 1(表号) permit any(所有) ：允许其它条目通过③int f0/0 ：进入接口④ip access-group 1 out／in(出口／进口) ：调用刚才设置的表号2、扩展ACL配置：①access-list 100(表号) deny ip 源IP＋反向掩码＋目的IP＋反向掩码：定义拒绝IP②access-list 100(表号) permit ip any any ：定义其它IP流量全部允许通过③int f0/0 ：进入接口④ip access-grout 100 out／in ：调用刚才扩展的ACL表号3、如果拒绝某一个IP，访问某一个IP设置（只能用扩展ACL定义）①access-list 100(表号) deny ip host 源IP＋目的IP ：设置拒绝单个IP②access-list 100(表号) permit ip any any ：其它IP流量全部允许③int f0/0 ：进入接口④ip access-grout 100 in／out ：调用刚才定义的IP表号4、查看ACL命令：①show access-list ：查看ACL定义范围②show running-config ｜section access-list ：只查看ACL配置。

标准acl 扩展acl标准ACL（Access Control List）和扩展ACL是网络安全中常用的两种访问控制列表，用于控制网络设备上的数据流向和访问权限。

本文将对标准ACL和扩展ACL进行详细介绍，并比较它们之间的区别和适用场景。

ACL是一种基于规则的访问控制机制，通过在路由器、交换机等网络设备上配置ACL规则，可以限制数据包的流向和访问权限。

ACL可以根据源IP地址、目标IP地址、协议类型、端口号等条件对数据包进行过滤和控制，从而提高网络的安全性和管理效率。

首先，我们来介绍标准ACL。

标准ACL是最简单的一种ACL类型，它只能根据源IP地址来匹配数据包，并根据匹配结果决定是否允许数据包通过。

标准ACL的配置范围是1-99和1300-1999，其中1-99用于过滤IPV4数据包，1300-1999用于过滤IPV6数据包。

标准ACL通常用于实现简单的访问控制策略，比如限制某些特定的IP地址访问网络设备或特定的网络服务。

与标准ACL相对应的是扩展ACL。

扩展ACL可以根据源IP地址、目标IP地址、协议类型、端口号等多种条件对数据包进行匹配，并根据匹配结果决定是否允许数据包通过。

扩展ACL的配置范围是100-199和2000-2699，其中100-199用于过滤IPV4数据包，2000-2699用于过滤IPV6数据包。

扩展ACL相对于标准ACL来说，能够实现更加灵活和精细化的访问控制策略，因此在实际应用中更加常见。

在实际应用中，我们应该根据具体的网络环境和安全需求来选择合适的ACL类型。

如果只需要简单地限制某些特定的IP地址访问网络设备或特定的网络服务，可以选择标准ACL；如果需要实现更加灵活和精细化的访问控制策略，可以选择扩展ACL。

另外，我们还需要注意ACL的配置顺序，因为ACL是按照配置顺序逐条匹配的，所以配置顺序的不当可能会导致意外的网络访问问题。

总之，标准ACL和扩展ACL是网络安全中常用的两种访问控制列表，它们可以帮助我们实现对网络数据流向和访问权限的精细化控制。

基本访问控制列表编号范围一、什么是基本访问控制列表（ACL）？基本访问控制列表（ACL）是一种用于控制网络中资源访问权限的机制。

通过ACL，网络管理员可以指定允许或禁止特定用户或用户组对资源的访问。

ACL可以应用于路由器、交换机、防火墙等网络设备，以实现对网络流量的精细控制。

二、ACL编号范围ACL的编号范围决定了ACL的优先级顺序，较低编号的ACL将优先匹配和应用于网络流量。

在不同的网络设备上，ACL的编号范围可能会有所不同。

下面是一些常见的ACL编号范围示例：2.1 路由器ACL编号范围在路由器上，ACL通常应用于接口或路由器的特定功能，如路由、NAT等。

对于路由器ACL，一般有两种编号范围：1.标准ACL编号范围：1-99或1300-1999。

标准ACL只能根据源IP地址进行过滤，不能根据目的IP地址、端口号等进行过滤。

2.扩展ACL编号范围：100-199或2000-2699。

扩展ACL可以根据源IP地址、目的IP地址、端口号等多个条件进行过滤。

2.2 交换机ACL编号范围在交换机上，ACL通常应用于虚拟局域网（VLAN）接口或交换机的特定功能，如虚拟局域网间路由（VLAN Routing）、访问控制等。

对于交换机ACL，一般有以下编号范围：1.标准ACL编号范围：1-99。

与路由器ACL的标准ACL相同，只能根据源IP地址进行过滤。

2.扩展ACL编号范围：100-199。

与路由器ACL的扩展ACL相同，可以根据多个条件进行过滤。

2.3 防火墙ACL编号范围在防火墙上，ACL通常应用于过滤网络流量，以保护网络免受未经授权的访问。

对于防火墙ACL，一般有以下编号范围：1.标准ACL编号范围：1-99。

与路由器ACL的标准ACL相同，只能根据源IP地址进行过滤。

2.扩展ACL编号范围：100-199。

与路由器ACL的扩展ACL相同，可以根据多个条件进行过滤。

三、如何配置ACL配置ACL的具体步骤和语法可能因不同的网络设备而有所不同。

实验1：标准ACL一实验目的通过本实验可以掌握：（1）ACL设计原则和工作过程（2）定义标准ACL（3）应用ACL（4）标准ACL调试二拓扑结构三实验步骤（1）步骤1：配置路由器R1Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#host R1R1(config)#int fa 0/0R1(config-if)#ip add 10.1.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR1(config-if)#int fa 0/1R1(config-if)#ip add 172.16.1.0 255.255.255.0Bad mask /24 for address 172.16.1.0R1(config-if)#ip add 172.16.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state toupR1(config-if)#int s0/0/0R1(config-if)#ip add 192.168.12.1 255.255.255.0R1(config-if)#clock rate 64000R1(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downR1(config-if)#exitR1(config)#router eigrp 1R1(config-router)#network 10.1.1.0 0.0.0.255R1(config-router)#network 172.16.1.0 0.0.0.255R1(config-router)#network 192.168.12.0R1(config-router)#no auto（2）步骤2：配置路由器R2Router>enRouter#conftEnter configuration commands, one per line. End with CNTL/Z.Router(config)#line con 0Router(config-line)#logg sRouter(config-line)#no ip domain-lRouter(config)#host R2R2(config)#int s0/0/0R2(config-if)#ip add 192.168.12.2 255.255.255.0R2(config-if)#no shutR2(config-if)#%LINK-5-CHANGED: Interface Serial0/0/0, changed state to upR2(config-if)#int s0/0/1R2(config-if)#ip add 192.168.23.2 25%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up5 R2(config-if)#ip add 192.168.23.2 255.255.255.0R2(config-if)#clock rate 64000R2(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/1, changed state to downR2(config)#int lo0R2(config-if)#%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up R2(config-if)#ip add 2.2.2.2 255.255.255.0R2(config-if)#exitR2(config)#router eigrp 1R2(config-router)#network 2.2.2.0 0.0.0.255R2(config-router)#network 192.168.12.0 0.0.0.255R2(config-router)#%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.12.1 (Serial0/0/0) is up: new adjacencyR2(config-router)#network 192.168.23.0 0.0.0.255R2(config-router)#no auto-summaryR2(config-router)#%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.12.1 (Serial0/0/0) is up: new adjacencyR2(config-router)#exitR2(config)#access-list 1 deny 172.16.1.0 0.0.0.255 //定义标准ACLR2(config)#access-list 1 permit anyR2(config)#interface s0/0/0R2(config-if)#ip access-group 1 in //在接口上开启ACLR2(config-if)#access-list 2 permit 172.16.3.1 //定义标准ACLR2(config)#line vty 0 4R2(config-line)#access-class 2 in //在vty上开启ACLR2(config-line)#password ciscoR2(config-line)#login（3）步骤3：配置路由器R3Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#line con 0Router(config-line)#logg sRouter(config-line)#no ip domain-lRouter(config)#host R3R3(config)#int fa 0/0R3(config-if)#ip add 172.16.3.3 255.255.255.0R3(config-if)#no shutR3(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR3(config-if)#int s0/0/1R3(config-if)#ip add 192.168.23.3 255.255.255.0R3(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/1, changed state to upR3(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to upR3(config-if)#exitR3(config)#router eigrp 1R3(config-router)#network 172.16.3.0 0.0.0.255R3(config-router)#network 192.168.23.0 0.0.0.255%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.23.2 (Serial0/0/1) is up: newadjacencyR3(config-router)#no auto-summary%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.23.2 (Serial0/0/1) is up: new adjacency四实验调试在PC1网络所在主机上ping 2.2.2.2，应该通，在PC2网络所在的主机上ping 2.2.2.2 应该不通，在主机PC3上Telnet 2.2.2.2，应该成功。