访问控制列表(访问权限表/软件防火墙)
1功能:允许或禁止通过路由器的数据包
2分类
1)  基本访问控制列表
机理:根据数据包的源地址,处理数据包他只看源地址别的都不看
2配置
config#access-list 表号 deny/permit 源网ip 源网匹配码
表号:1——99
Deny:禁止
Permit:允许
提示:每张表的表尾隐含deny any 语句
config#access-list 1 deny 192.168.10.1  <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />0.0.0.0.
禁止192.168.10.1
config#access-list 1 permit any   
其他全部允许
192.168.10.1       0.0.0.0. <=>host 192.168.10.1
0.0.0.0.              255.255.255.255.<=>any
包与访问控制列表中的语句的比较原则
自上而下比较:如包与某语句匹配,用该语句
定义处理包:如果与某语句不匹配,将把包与下一条语句比较,如果与所有语句均不匹配,包就丢弃。
应用表到端口
config#interface 端口
config#ip access-group 表号 in/out
In:对流入路由器数据包进行的处理
Out:对流出路由器数据包进行处理
确认访问控制列表是否应用到端口
#show into 端口   是错误的
#show run 是对的 或者 #show ip int 端口  显示端口的三层配置
结论:
在同一端口上,同一方向上的访问控制列表只能存在一个
在同一端口上,两个方向上的访问控制列表可以同时存在
,同一访问控制列表可以同时挂在端口的两个方向