谁都知道Cisco 路由器ACL在Cisco 路由器的安全策略中具有相当重要的地位，所以掌握这些知识点是每一个网友必备的。其实在很多地方都会涉及到这些内容。访问列表（Access List）是一个有序的语句集。它是基于将规则与报文进行匹配，用来允许或拒绝报文流的排序表。用来允许或拒绝报文的标准是基于报文自身包含的信息，通常这些信息只限于第三层和第四层报文头中的包含的信息。当报文到达路由器的接口时，路由器对报文进行检查，如果报文匹配，则执行该语句中的动作；如果报文不匹配，则检查访问表中的下一个语句。

直到***一条结束时仍没有匹配语句，则报文按缺省规则被拒绝。正确的使用和配置访问列表是Cisco 路由器ACL配置中至关重要的一部分。因为，有了它不仅使管理员有强大的控制互联网络流量的能力，而且还可以实现安全策略，也可以保护敏感设备防止非授权的访问。访问列表基本上是一系列条件，这些条件控制对一个网段的访问也控制来自一个网段的访问。访问列表可以过滤不必要的数据包，并用于实现安全策略。通过恰当的组合访问列表，网络管理员具有了实现任何创造性的访问策略的能力。

IP和IPX访问列表工作原理非常相似——它们都是包过滤器，包被比较、被分类并遵照规定行事。一旦建立了列表，可以在任何接口上应用入站（inbound）或出站（outbound）流量。这里有一些数据包和访问列表相比较时遵循的重要规则：通常是按照顺序比较访问列表的每一行，例如，通常从***行开始，然后转到第二行，第三行，等等。比较访问列表的各行直到比较到匹配的一行。一旦数据包与访问列表的某一行匹配，它就遵照规定行事，不再进行后续比较。

在每个访问列表的***有一行隐含式的“deny（拒绝）”语句——意味着如果数据包与访问列表中的所有行都不匹配，将被丢弃。当使用访问列表过滤IP和IPX包时，每个规则都有很强的含义。IP和IPX有两种类型访问列表：标准访问列表 这种访问列表在过滤网络时只使用IP数据包的源IP地址。这基本上允许或拒绝了整个协议组。IPX标准访问列表可以根据源IPX地址和目的IPX地址进行过滤。扩展访问列表 这种访问列表检查源IP地址和目的IP地址、网络层报头中的协议字段和传输层报头中的端口号。IPX扩展访问列表使用源IPX地址和目的IPX地址、网络层协议字段和传输层报头中的套接字号。

一旦创建了一个访问列表，可应用于输出型或者输入型的接口上：输入型访问列表 数据包在被路由到输出接口前通过访问列表而被处理。输出型访问列表 数据包被路由到输出接口，然后通过访问列表而被处理。这里还有一些在Cisco 路由器ACL上创建和实现访问列表时应当遵循的访问列表指南：每个接口、每个协议或每个方向只可以分派一个访问列表。这意味着如果创建了IP访问列表，每个接口只能有一个输入型访问列表和一个输出型访问列表。组织好访问列表，要将更特殊的测试放在访问列表的最前面。任何时候访问列表添加新条目的时候，将把新条目放置到列表的末尾。不能从访问列表中删除一行。

如果试着这样做，将删除整个访问列表。除非在访问列表末尾有permitany命令，否则所有和列表的测试条件都不符合的数据包将被丢弃。每个列表应当至少有一个允许语句，否则可能会关闭接口。先创建访问列表，然后将列表应用到一个接口。任何应用到一个接口的访问列表如果不是现成的访问列表，那么此列表不会过滤流量。

访问列表设计为过滤通过路由器的流量。不过滤Cisco 路由器ACL产生的流量。将IP标准访问列表尽可能放置在靠近目的地址的位置。将IP扩展访问列表尽可能放置在靠近源地址的位置。标准IP访问列表，表1列出了和标准IP访问列表相关的配置命令，表2列出了相关的EXEC命令。标准IPX访问列表，同标准IP访问列表配置方法类似：

access-list{numer} {permit | deny} {source_address} {destination_address}
ipx access-group {number|name}{in| out}

扩展IPX访问列表，扩展IPX访问列表可以根据下列任何内容进行过滤：源网络/节点地址，目的网络/节点地址IPX协议（SAP、SPX,等等），IPX套接字，同标准访问列表的配置方法一致，只是增加了协议和套接字信息：access-list{numer} {permit | deny} {protocol} {source} {socket}{destination } {socket}，（由于IPX不是我们介绍的重点，所以只是稍微介绍J）值得注意的是访问列表的号码，下面是一个可以用于过滤网络的访问列表举例。访问列表可以使用的不同协议依赖于IOS版本。下面是Cisco 路由器ACL的具体码子！

Router(config)#access-list?
<1-99> IPstandard access list
<100-199>IP extended access list
<1000-1099>IPX SAP access list
<1100-1199>Extended 48-bit MAC address access list
<1200-1299>IPX summary address access list
<200-299>Protocol type-code accesslist

<300-399>DECnet access list
<400-499>XNS standard access list
<500-599>XNS extended access list
<600-699>Appletalk access list
<700-799>48-bit MAC address accesslist
<800-899>IPX standard access list
<900-999>IPX extended access list