1  数据包的控制

2 定义感兴趣流量 

标准ACL    扩展ACL

标准ACL：检查数据源IP地址 实现数据控制 

扩展ACL：默认情况下 3层协议 源IP 目标IP  （4层协议 上层协议）

ACL由条目构成 在ACL中 每条目都包含一个2选一的关键语句 DENY/PERMIT

ACL执行过程逐条匹配 

在写ACL时需要注意：永远由精确到模糊 

在 ACL中 末尾隐藏 DENY ANY （隐含拒绝一切） 所以需要调用ACL时 该ACL需保证至少包含一条permit语句

调用ACL时是将ACL调用至路由器或者FW的端口上 同时需要定义ACL检查入站/出站流量 

注意：一个端口的一个方向上 有且只允许存在一张ACL 

标准ACL使用位置 尽量靠近目标

扩展ACL使用位置 尽量靠近源

注意：ACL不检查本地数据流量 

标准ACL配置

     show ACL命令 

调用命令

 

扩展ACL配置 

新的ACL条目永远是加入到表的末尾  在IOS12.2以后版本 在ACL条目中引入了编号的概念 

如何修改ACL条目

注意：同时该命令也可创建ACL 

创建命名ACL