誰都知道Cisco 路由器ACL在Cisco 路由器的安全策略中具有相當重要的地位，所以掌握這些知識點是每一個網友必備的。其實在很多地方都會涉及到這些內容。訪問列表（Access List）是一個有序的語句集。它是基于將規則與報文進行匹配，用來允許或拒絕報文流的排序表。用來允許或拒絕報文的標準是基于報文自身包含的信息，通常這些信息只限于第三層和第四層報文頭中的包含的信息。當報文到達路由器的接口時，路由器對報文進行檢查，如果報文匹配，則執行該語句中的動作；如果報文不匹配，則檢查訪問表中的下一個語句。

直到***一條結束時仍沒有匹配語句，則報文按缺省規則被拒絕。正確的使用和配置訪問列表是Cisco 路由器ACL配置中至關重要的一部分。因為，有了它不僅使管理員有強大的控制互聯網絡流量的能力，而且還可以實現安全策略，也可以保護敏感設備防止非授權的訪問。訪問列表基本上是一系列條件，這些條件控制對一個網段的訪問也控制來自一個網段的訪問。訪問列表可以過濾不必要的數據包，并用于實現安全策略。通過恰當的組合訪問列表，網絡管理員具有了實現任何創造性的訪問策略的能力。

IP和IPX訪問列表工作原理非常相似——它們都是包過濾器，包被比較、被分類并遵照規定行事。一旦建立了列表，可以在任何接口上應用入站（inbound）或出站（outbound）流量。這里有一些數據包和訪問列表相比較時遵循的重要規則：通常是按照順序比較訪問列表的每一行，例如，通常從***行開始，然后轉到第二行，第三行，等等。比較訪問列表的各行直到比較到匹配的一行。一旦數據包與訪問列表的某一行匹配，它就遵照規定行事，不再進行后續比較。

在每個訪問列表的***有一行隱含式的“deny（拒絕）”語句——意味著如果數據包與訪問列表中的所有行都不匹配，將被丟棄。當使用訪問列表過濾IP和IPX包時，每個規則都有很強的含義。IP和IPX有兩種類型訪問列表：標準訪問列表 這種訪問列表在過濾網絡時只使用IP數據包的源IP地址。這基本上允許或拒絕了整個協議組。IPX標準訪問列表可以根據源IPX地址和目的IPX地址進行過濾。擴展訪問列表 這種訪問列表檢查源IP地址和目的IP地址、網絡層報頭中的協議字段和傳輸層報頭中的端口號。IPX擴展訪問列表使用源IPX地址和目的IPX地址、網絡層協議字段和傳輸層報頭中的套接字號。

一旦創建了一個訪問列表，可應用于輸出型或者輸入型的接口上：輸入型訪問列表 數據包在被路由到輸出接口前通過訪問列表而被處理。輸出型訪問列表 數據包被路由到輸出接口，然后通過訪問列表而被處理。這里還有一些在Cisco 路由器ACL上創建和實現訪問列表時應當遵循的訪問列表指南：每個接口、每個協議或每個方向只可以分派一個訪問列表。這意味著如果創建了IP訪問列表，每個接口只能有一個輸入型訪問列表和一個輸出型訪問列表。組織好訪問列表，要將更特殊的測試放在訪問列表的最前面。任何時候訪問列表添加新條目的時候，將把新條目放置到列表的末尾。不能從訪問列表中刪除一行。

如果試著這樣做，將刪除整個訪問列表。除非在訪問列表末尾有permitany命令，否則所有和列表的測試條件都不符合的數據包將被丟棄。每個列表應當至少有一個允許語句，否則可能會關閉接口。先創建訪問列表，然后將列表應用到一個接口。任何應用到一個接口的訪問列表如果不是現成的訪問列表，那么此列表不會過濾流量。

訪問列表設計為過濾通過路由器的流量。不過濾Cisco 路由器ACL產生的流量。將IP標準訪問列表盡可能放置在靠近目的地址的位置。將IP擴展訪問列表盡可能放置在靠近源地址的位置。標準IP訪問列表，表1列出了和標準IP訪問列表相關的配置命令，表2列出了相關的EXEC命令。標準IPX訪問列表，同標準IP訪問列表配置方法類似：

access-list{numer} {permit | deny} {source_address} {destination_address}
ipx access-group {number|name}{in| out}

擴展IPX訪問列表，擴展IPX訪問列表可以根據下列任何內容進行過濾：源網絡/節點地址，目的網絡/節點地址IPX協議（SAP、SPX,等等），IPX套接字，同標準訪問列表的配置方法一致，只是增加了協議和套接字信息：access-list{numer} {permit | deny} {protocol} {source} {socket}{destination } {socket}，（由于IPX不是我們介紹的重點，所以只是稍微介紹J）值得注意的是訪問列表的號碼，下面是一個可以用于過濾網絡的訪問列表舉例。訪問列表可以使用的不同協議依賴于IOS版本。下面是Cisco 路由器ACL的具體碼子！

Router(config)#access-list?
<1-99> IPstandard access list
<100-199>IP extended access list
<1000-1099>IPX SAP access list
<1100-1199>Extended 48-bit MAC address access list
<1200-1299>IPX summary address access list
<200-299>Protocol type-code accesslist

<300-399>DECnet access list
<400-499>XNS standard access list
<500-599>XNS extended access list
<600-699>Appletalk access list
<700-799>48-bit MAC address accesslist
<800-899>IPX standard access list
<900-999>IPX extended access list