访问控制列表ACL

命令：access-list

1、将具体的测试条件放在ACL前面，否则满足条件后将不再进行下一条list的检查过滤。（原理细见：单路由器：一对多出口NAT技术+子接口NAT+扩展访问控制列表实验）

2、ACL末尾有一条隐式的deny any语句，所以ACL里边至少有一条permit语句，否则它将拒绝所有的数据流。

3、不能仅删除访问控制列表中的一行，否则将删除整个ACL。要编辑ACL最好先将其到文本编辑器中。使用ACL是唯一的例外。

4、ACL只过滤穿越路由器的数据流，不会对始发于当前路由器数据流进行过滤。

5、创建ACL要将其应用于接口。

6、标准ACL是根据源地址进行过滤的，所有应放在离目的地尽可能近的地方，否则将影响所有的目的地。

7、扩展ACL可根据非常具体的地址和协议进行过滤（当数据包被扩展ACL过滤时，必须源IP和目标IP以及协议都符合ACL条件时才停止过滤，比如只有源IP符合或者目标IP或协议中符合其一都不会停止过滤的。数据包将进入下一条ACL进行检查过滤），应放在离信源尽可能近的地方。避免数据值穿越整个网络后，最终却被拒绝。

注意：标准访问列表中同一个源IP只能设计一个list就行了，同一个源IP再多设计出几个list也没用，因为在第一个list就满足条件了。后面的list等于废的。