1、标准ACL

　　Router(config)# access-list   access-list-number   {permit | deny | remark}   source   [mask]

　　Router(config-if)# ip access-group access-list-number {in | out}

　　*表号------- 1 to 99

　　*缺省的通配符掩码  0.0.0.0

　　*no access-list access-list-number   移除整个ACL

　　*remark 给访问列表添加功能注释

　　*mask  反掩码

 

2.扩展ACL

　　扩展访问控制列表是一种高级的ACL，配置命令的具体格式如下：

　　　　access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围]  [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]

   　　 例如：access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务（WWW）TCP连接的数据包丢弃。

    小提示：同样在扩展访问控制列表中也可以定义过滤某个网段，当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。　

　　　　　表号 100 to 199　

 

ACL的过滤流程：

　　1、按顺序的比较：先比较第一行，如果不匹配，再比较第二行，依次类推直到最后一行

　　2、从第一行起，直到找到一个符合条件的行，符合以后就不再继续比较下去

　　3、默认在每个ACL中的最后一行为隐含的拒绝