ACL访问控制列表规则建立、增加条目、删除条目.

①分类：标示流量进行特殊处理，通过过滤经过路由的数据包来管理IP流量②抓取路由
分类：
标准ACL:检查源地址，通常允许或者拒绝整个协议族
扩展ACL：检查源地址和目的地址，通常允许或拒绝特定协议和应用程序
标准ACL和扩展ACL的两种标示方法：
编号ACL使用编号进行标示
命名ACL使用描述性名称或者编号进行标示
命名的ACL用字母数字字符串（名称）标识IP标准ACL和扩展ACL
命名访问控制列表可以单独删除某条语句而不破坏整个列表的顺序；也可以在新添加的语句前面写入编号，把语句插入到指定的位置，当没有写入编号的时候默认添加到最末行。

标准ACL格式
R1(config)#access-list access-list-number {remark|permit|deny} source source-wildcard [log]
R1(config)#access-list 表号 策略 源地址
表号：标准ACL范围，1-99、1300-1999。
策略：permit(允许)；deny(拒绝)。
源地址：指定IP网段：IP地址+通配符掩码；单个主机地址：host；任意地址：any。
说明：
①“remark”选项：用于给访问控制列表添加备注，增强列表的可读性。
②源地址字段中：any选项表示任何IP地址，等同于0.0.0.0 255.255.255.255；host选项可代替掩码0.0.0.0。
③可选参数“log”：用于对匹配的数据包生成信息性日志消息，并发送到控制台上。

扩展ACL格式
R1(config)#access-list access-list-number {remark|permit|deny} protocol source [source-mask]
[operator operand] destination [destination-mask] [operator operand] [established] [log]
R1(config)#access-list 表号 策略 协议 源地址 源端口 目的地址 目的端口
表号：扩展ACL范围，100-199、2000-2699。
策略：permit(允许)；deny(拒绝)。
协议：检查特定协议的数据包，如TCP、UDP、ICMP、IP等。
源地址：指定IP网段：IP地址+通配符掩码；单个主机地址：host；任意地址：any。
源端口：可省略不写,lt、gt、eq、neq(小于、大于、等于、不等于)。
目的地址：指定IP网段：IP地址+通配符掩码；单个主机地址：host；任意地址：any。
目的端口：可省略不写,lt、gt、eq、neq(小于、大于、等于、不等于)。
说明：“establishe”选项用于TCP协议，指示已建立的连接。

1、隐式拒绝所有,在列表中不可见
2、ACL匹配从上到下
3、ACL如果被匹配了后面就不会再管了
ACL可以限制网络流量、提高网络性能；提供网络安全访问的基本手段；可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞，应用范围很广，如：路由过滤、Qos、NAT、Router-map、VTY等。
3P原则