ACL分为：基本ACL、高级ACL

基本ACL：只能基于数据包的源地址、报文分片标记、时间段来定义规则，编号范围：2000~2999。（根据数据包从源网络到目标网络的路径，在必经之地（路由器的某个端口）进行数据包过滤。）

高级ACL：可以根据数据包的源IP、目标IP、协议、目标端口、源端口、数据包的长度值来定义规则，编号范围：3000~3999。

所以，高级ACL比基本ACL在控制上更精准、灵活、也更复杂。

在ACL中可添加多条规则，要为每条规则指定一个编号，如不指定系统自动步长默认为5，默认是 0 、5、10、15...匹配顺序安装ACL的Rule-ID编号，从小到大进行匹配。不连续的Rule-ID编号方便我们以后插入规则，比如在5~10之间插入一条7的规则。

ACL中的源地址只能是网段，网段后跟的是翻转掩码

翻转掩码：

192.168.0.0   255.255.255.0 网段，在ACL中是 192.168.0.0   0.0.0.255

192.168.0.64  255.255.255.192 网段  ，ACL中是 192.168.0.64   0.0.0.63，观察：255-192=63

192.168.0.0 255.255.255.252  ，ACL中是192.168.0.0  0.0.0.3 观察：255-252=3

0.0.0.0     0.0.0.0  要写成 0.0.0.0  255.255.255.255，ACL中可以any代替该网段。

使用ACL保护路由器安全：

如果网络中的路由器配置了VTY端口，只要网络畅通，任何计算机都可以telnet到路由器进行配置，一但telnet路由器的密码被泄露，路由器的配置就可能被非法更改。

[AR1]acl 2001

[AR1-acl-basic-2001]rule permit source 192.168.2.2 0   //不指定rule步长，默认是5

[AR1-acl-basic-2001]rule reny source any  //拒绝所有

user-interface vty 0 4

authentication-mode password  //设置身份严重模式

login password :   123456          //设置登录密码

user privilege level 3

acl 2001 inbound   //绑定acl 2001的进栈方向

ACL

#创建ACL，制定访问控制规则（默认是permit）

acl 3000

  rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 icmp-type echo

  #配置ICMP单向访问规则  注解一下ehco的意思是第一个请求包，规则拒绝的是icmp中10请求20，

  rule 10 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag syn

  #配置TCP单向访问规则  注解一下syn是三次握手的第一个动作，就被deny了

  quit

#配置流分类，匹配ACL

traffic classifier c1

  if-match acl 3000

  quit

#配置流行为

traffic behavior b1

  deny

  quit

#配置流策略，关联流分类和流行为

traffic policy p1

  classifier c1 behavior b1

  quit

#流策略 应用到接口上

interface gigabitethernet 1/0/1

  traffic-policy p1 inbound

#或者应用到vlan上

vlan 10

  traffic-policy p1 inbound

#或者在全局应用

traffic-policy p1 global inbound