3必须先创建ACL，再应用到相应的接口上

　　4ACL不能过滤由器自己产生的数据。

　　ACL理论东西没有太多，也很简单，下面咱们来看一下标准控制列表的配置过程，其实不论是标准还是扩展ACL的配置主要就是两个命令

　　1设置访问控制列表

　　Router(config)#access-listacl_numberpermitdeny{}

　　2在接口上应用访问控制列表，

　　Ipaccess-groupacl_numberinout

　　这里可以是某个接口，也可以是VTY，Qos等应用中。其中in代表是入站方向，out代表的是出站方向。

　　那么标准ACL就显得更简单了，如：

　　Access-listacl_number{permitdeny}source[mask]

　　其中acl_number指的是ACL编号范围：1-99或1300-1999

　　Permit表示通过

　　Deny表示

　　Source代表的是源地址，可以是某一个主机或是一个网段

　　Mask掩码，但需要注意的是ACL支持的是反掩码，所以在设置的时候一定要注意。

　　但我们有时候可能会在source前面加上host或是any，这又是什么用意呢?

　　Host不是必须的，但是当匹配一个特定的主机地址时常有用的。也就是使用host的时候是匹配的某一个具体的主机，是一个精确匹配，此时的反掩码则0.0.0.0

　　如：

　　1Access-list10permit10.10.10.00.0.0.255表示的是一个网段10.10.10.0，表示匹配该网段的所有数据报文。

　　2access-list10permit10.10.10.100.0.0.0表示匹配源地址是10.10.10.10这一个具体的主机，这个语句可以写成access-list10permithost10.10.10.10

　　Any也不是必须的，但是如果是匹配所有报文时常有用的，表示匹配所有的地址，是0.0.0.0255.255.255.255的简写

　　如：

　　Access-list10permit0.0.0.0255.255.255.255表示所有数据包通过，此语句可以写成：

　　Access-list10permitany

　　下面咱们结合几个小实例来看一下标准ACL的具体配置过程：

　　我们所参考的拓扑图如下：

　　某一主机

　　大家可以看到和192.168.20.0网段通讯没有问题，但是和192.168.30.0网段就不行，这就是对某一台机器进行精确匹配，那么如果我们把192.168.10.10的IP改为192.168.10.100又如何呢?

　　查看ACL表

　　第3页：

　　在VTY上应用标准ACL：

　　我们可以利用ACL来控制对VTY的访问，ACL可以用在VTY上，我们在第二节中介绍过VTY，其实也就是对Cisco设备的Telnet操作，一般我们说可以将ACL应用在5个VTY虚拟终端上。但是要注意的是Cisco是否仅支持5个VTY，这要根据由器的版本和内存和决定，所以在设置ACL的时候一定要先弄清楚VTY的数量)

　　将ACL应用在VTY上，可以实现不考虑由器的物理接口的拓扑来实现对由器的远程控制。但是要注意的是在此只能使用标准ACL。

　　那么具体设置命令也很简单：我们前面是在某个接口上设置ACL，所以必须使用intece命令进行接口模式，而在此需要进入vty线模式。在应用的时候是使用access-class而不是ipaccess-group;我们来具体看一下：

　　1进行线模式

　　命令：linevtyvty­_numbervry_range

　　在此可以一个具体终端或指定的一个地址范围，一定要注意事先查清VTY的数量

　　2应用ACL：

　　命令：access-classACL_numberinout

　　我们来看一个具体的配置实例：

　　实例：我们R3由器远程Telnet到R1由器上