訪問列表型別：

      標準的訪問控制列表－（基於IP的編號範圍1－99,基於IPX的編號範圍800－899）檢查源地址，通常允許、拒絕完整的協議

      擴充套件的訪問控制列表－（基於IP的編號範圍100－199,基於IPX的訪問控制列表範圍900－999），檢查源地址和目的地址，具體的TCP/IP協議和目的埠號，通常允許、拒絕的是某個特定的協議

      SAP（基於IPX的編號1000－1099）。其它訪問列表範圍表示不同協議的訪問列表。

        進方向和出方向分別用in和out表示。

************************************************

*   標準的訪問控制列表舉例 

************************************************

前提（先進入全域性配置模式下）
          access–list 11 deny/permit 192.168.1.12 0.0.0.255   

#####192.168.1.12為源地址；0.0.0.255為192.168.1.12 的反掩碼;；11為標準的訪問控制列表的編號。

         i p access–group 11 in/out      //前提（先進入介面配置模式下）

###### in為進方向，out為出方向，預設下為出方向 。11為上面做訪問控制列表時用的編號。

      做完這兩步，一個完整的訪問控制列表算完成了。預設下的反掩碼為0.0.0.0    

用no access–list 11 命令刪除訪問控制列表，屬於這個編號下的訪問控制列表全部刪除（先進入全域性模式下）；

用no ip access–group 11 命令在埠上刪除訪問控制列表（先進入介面模式下）。

***************************************************

*   擴充套件的訪問控制列表的配置 *  

***************************************************

     前提（先進入全域性配置模式下）

      access–list 101 deny/permit tcp 172.16.4.0 0.0.0.255   172.16.3.0 0.0.0.255         eq 80  

######意思是－－拒絕／允許172.16.4.0這個網路遠端登陸到172.16.3.0這個網路。

      access–list 101 permit ip any any  

######訪問控制列表的意思的允許所有。

######（擴充套件訪問列表允許所有時，後面要用兩個any ；標準訪問控制列表在允許所有的時候，後面是一個any。）

######101為編號； tcp為協議號 ；   172.16.4.0 0.0.0.255為源地址；172.16.3.0 0.0.0.255   為目的地址； eq是等於的意思 ；80為埠號。

      ip access–group101 out          前提（先進入介面配置模式）

######這條命令是介面上啟用訪問控制列表並指定方向。

***************************************************

*   命名的訪問控制列表的配置 *  

***************************************************

（11.2以後的版本才支援）－基於IP和IPX都可以，可以自已定義一個名字。

（前提，先進入全域性配置模式下）

      ip access–list standard/extended cisco                //  cisco為自行定義的名字

      deny/permit 172.1.1.0 0.0.0.255                        //上面選擇standard即標準訪問控制列表的時候

      deny/permit tcp 172.16.4.0 0.0.0.255   172.16.3.0 0.0.0.255   eq 80    //上面選擇extended即擴充套件訪問控制列表的時候

ip access–group cisco in/out     前提（先進入介面配置模式下）在介面上應用命名的訪問控制列表，並指定方向。

********************************

*  訪問控制列表放置原則  *

********************************

將擴充套件訪問列表放置於離源裝置較近的位置，將標準訪問列表放置於離目的裝置較近的位置

********************************

*  訪問控制列表配置原則  *

********************************

訪問列表中的限制語句的位置是至關重要的；

將限制條件嚴格的語句放在訪問列表的最上面；

使用no access–list   number命令將刪除整個訪問列表 number為配置的訪問控制列表編號， 例外：命名訪問列表可以刪除單獨的語句； copyright www.netdigedu.com

訪問列表中有一條隱藏訪問控制－－拒絕所有（deny all）；

在設定的訪問列表中要有一句 permit any。

eg:

命名訪問控制列表配置：

router(config)#ip access-list extended hbsj

router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any

router(config-ext-nacl)#exit

router(config)#interface FastEthernet2/1/0

router(config-if)#ip access-group hbsj in  

router(config)#ip access-list extended hbsj

router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any

router(config-ext-nacl)#exit

router(config)#interface FastEthernet2/1/0

router(config-if)#ip access-group hbsj in