访问控制列表ACL的配置与使用
访问控制列表，即AccessCo
trolList，以下简称ACL，是路由器、交换机等网络设备上最常用的功能之一。可以说大多数的网络协议都跟ACL有着千丝万缕的联系，所以要弄清楚ACL的用法非常重要。
实际上，ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。然后根据这些集合去匹配网络中的流量（由大量数据包组成），同时根据策略来“允许”或者“禁止”。
ACL的基本原理：
如图：
1、ACL由若干条件，并按照一定的顺序而成，同时每个条件都对应了一个策略：允许或者禁止。
2、收到一个数据帧之后，ACL会按照从上到下的顺序逐一匹配：
●一个条件不匹配就查看下一个；
●任意一个条件匹配后就按照指定的策略执行，并跳出匹配；
●所有条件都不匹配时，默认禁止，即de
y。
根据条件描述的不同，我们通常可以将IPACL分为基本型和扩展型两种。
其中基本型只能就数据包的源ip地址进行匹配；
f而扩展型ACL就可以对源IP、目的IP、协议号（判断tcpudpicmp等）、源端口号、目的端口号、QoS参数（tos、precede
ce）等参数来进行定义，同时在匹配时，还可以根据路由器系统时间（timera
ge）来变化、还可以选择是否生成日志（log）等，功能非常强大。
显然标准型ACL功能非常简单，而扩展型ACL功能非常强大；但是功能越强大，匹配的越详细，对于路由器等网络设备的性能要求越高，或者对于网速的拖慢越明显。组网时需要酌情使用。
不过有一点，两种类型的ACL在原理上是完全一致的。
标准型ACL只能匹配源IP地址，在实际操作中，有三种匹配方式：
1、a
y，任意地址
2、
etmask，指定ip网段
3、src_ra
ge，指定ip地址范围
配置模板：
ipaccessliststa
dard
ame
建立一个标准型的ACL，名字自定
permitde
ya
y
permitde
y
etwork
etmask
permitde
ysrc_ra
gestartipe
dip
f例1：我们需要设置某局域网中只有19216810网段的用户能够上网（理论上有254个用户），那么应该是
ipaccessliststa
dardtest
permit192168102552552550
de
ya
y（隐含生效，无需配置）
例2：我们需要设置某局域网中只有19216812～192168180的用户能够上网（理论上有79个用户），本网段的其他用户无法上网，那么应该是
ipaccessliststa
dardtest
permitsrc_ra
ge19216812192168180
de
ya
y（隐含生效）
例3：我们需要让某局域网中只有19216810网段用户上网，但是192168133这个ip地址的用户要禁止（财务禁止上网）（理论上有253个用户），那么应该是
ipaccessliststa
dardtest
de
y19216813325525r