ACL（Access Control List）:访问控制列表,它主要通过读取第三、四层的包头信息，再通过预定义好的规则进行匹配过滤，以达到访问控制的目的。大部分的路由交换系统中都集成了ACL功能。以下分别以思科和华为设备为例记录简单的ACL基础知识及命令配置。
#思科
ACL的分类：
1.标准访问控制列表
表号：1-99
特点：基于源IP来进行匹配过滤
2.扩展访问控制列表
表号：100-199
特点：基于源IP、目的IP、端口号、协议类型进行匹配过滤
3.命名访问控制列表
表号：无
特点：利用名称来定义ACL条目，使条目的含义看上去更直观，淡化了标准和扩展的界限
ACL的规则：
1.ACL匹配顺序是至上而下
2.ACL在应用中应把具体的条目放在最前面
3.一张ACL表中至少要有一条Permit
4.标准ACL应放在离目的地近的地方、扩展ACL放在离源近的地方
5.标准ACL和扩展ACL删除条目时、不能单独删除某一个条目，只能针对整张表进行删除
6.每一个接口的一个方向上只能应用一张ACL
7.ACL配置完成后需要调用才能生效，可以直接在接口下，也可以配合路由映射图
8.每张ACL中都有一条隐含Deny
ACL的简单配置命令：
Router(config)#access-list 1 permit 12.1.1.2 0.0.0.0
Router(config)#access-list 100 permit tcp host 12.1.1.2 host 34.1.1.4 eq telnet
Router(config-if)#ip access-group 1 out
Router(config)#route-map acl permit 10
Router(config-route-map)#match ip address 1
#华为
ACL分类：
[acl]acl number ?
INTEGER<2000-2999> Basic access-list(add to current using rules)
INTEGER<3000-3999> Advanced access-list(add to current using rules)
INTEGER<4000-4999> Specify a L2 acl group
INTEGER<5000-5999> User defined access-list
1.基本访问控制列表
表号：2000-2999
2.高级访问控制列表
表号：3000-3999
3.二层访问控制列表
表号：4000-49999
4.自定义访问控制列表
表号：5000-59999
基本访问控制列表配置如下：
[acl]acl number 2100
[acl-acl-basic-2100]rule 10 permit source 12.1.1.1 0 //默认rule id的布进是5
高级访问控制列表配置如下：
[acl]acl number 3010
[acl-acl-adv-3010]rule deny tcp source 12.1.1.1 0 destination 34.1.1.2 0 destination-port eq 23
[acl-acl-adv-3010]rule permit tcp source 23.1.1.1 0 destination 34.1.1.2 0 destination-port eq 23
[acl-acl-adv-3010]quit
[acl]dis current-configuration
#
acl number 2100
 rule 10 permit source 12.1.1.1 0
#
acl number 3010
 rule 5 deny tcp source 12.1.1.1 0 destination 34.1.1.2 0 destination-port eq te
 lnet
 rule 10 permit tcp source 23.1.1.1 0 destination 34.1.1.2 0 destination-port eq
 telnet
#
 

原文链接：http://www.wblog.me/97.html