工具 ACL（访问控制列表）（标准写法）

ACL：访问控制列表
它的作用有两个：
1、访问控制-----在路由器上流量进或出的接口上规则流量；
2、定义感兴趣流量 —为其他的策略匹配流量
（在NAT中有具体的应用）
----------访问控制：将ACL列表定义好了之后，将列表在路由器的接口上进行调用，当流量从接口上通过时，进行匹配，匹配成功后按照列表上设定好的动作进行处理。动作------允许（permit）、拒绝（deny）。
匹配的规则是：（1）自上而下，依次进行匹配，上条匹配上了就不再看下条；
（2）列表的末尾拒绝所有（如果匹配到了列表的最后一条还是 没有成功，则最后匹配的是在末尾隐含的 deny any.）

ACL分为两种；
1.标准ACL******仅仅关注数据包中的ip地址
2.扩展ACL******关注数据包中的源、目标ip地址、目标端口号、协议号
ACL写法分为两种；
1.编号写法 标准（1~99） 扩展（100~199）
2.命名写法 一个名字一张表
二者在删除时，编号写法的列表，删除就是将整张表删除；命名写法的列表，可以随意的删除列表中的某条。

接下来就是对于创建ACL列表的指令配置：
标准ACL
由于标准的ACL仅关注数据包的源ip地址，调用时尽量的靠近目标，避免在删除的时候误删。
编号写法
Router(config)#access-list 1 deny host 192.168.4.2
拒绝单一设备（access-list 1 deny 后加host 和你所要拒绝的单一设备的ip地址）
Router(config)#access-list 1 deny 192.168.4.0 0.0.0.255
拒绝范围（access-list 1 deny 后跟网段 子网掩码换为反掩码*）
Router(config)#access-list 1 deny any （any 全部所有 deny any 拒绝所有)
下边的指令为创建列表然后在靠近目标的接口上调用：
Router(config)#access-list 1 deny host 192.168.4.2
Router(config)#access-list 1 permit any（联系上边列表的匹配规则）
Router(config)#interface fastEthernet 0/0.1
Router(config-subif)#ip access-group 1 out （out 靠近目标的接口 出）
命名写法
Router(config)#ip access-list standard XX(xx代表你所创建的列表的名字)
Router(config-std-nacl)#deny host 192.168.4.2
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
Router(config)#interface fastEthernet 0/0.1
Router(config-subif)#ip access-group XX out
命名写法相对于编号写法的优点（删除）
默认+10生成序列号，便于删除和插入
10 20 30 40…+10 排列序号生成
Router(config)#ip access-list standard a
Router(config-std-nacl)#15 deny host 1.1.1.1（匹配规则 由上而下）
Router(config-std-nacl)#no 15（删除某个匹配条件时，直接 no+条件序号）

反掩码的概念
CIDR 子网掩码 反掩码
/30 255.255.255.252 0.0.0.3
/29 255.255.255.248 0.0.0.7
/28 255.255.255.240 0.0.0.15
/27 255.255.255.224 0.0.0.31
/26 255.255.255.192 0.0.0.63
/25 255.255.255.128 0.0.0.127
/24 255.255.255.0 0.0.0.255
/23 255.255.254.0 0.0.1.255
/22 255.255.252.0 0.0.3.255
/21 255.255.248.0 0.0.7.255
/20 255.255.240.0 0.0.15.255
/19 255.255.224.0 0.0.31.255
/18 255.255.192.0 0.0.63.255
/17 255.255.128.0 0.0.127.255
/16 255.255.0.0 0.0.255.255
/15 255.254.0.0 0.1.255.255
/14 255.252.0.0 0.3.255.255
/13 255.248.0.0 0.7.255.255
/12 255.240.0.0 0.15.255.255
/11 255.224.0.0 0.31.255.255
/10 255.192.0.0 0.63.255.255
/9 255.128.0.0 0.127.255.255
/8 255.0.0.0 0.255.255.255