acl-控制列表编辑

 多条规则的组合

一条访问列表可以由多条规则组成

多条规则使用同样的序号

对冲突规则判断的依据是“深度”，也就是描述的地址范围越小的，将会优先考虑。

深度的判断要依靠通配比较位和IP地址结合比较

access-list 4 deny 202.38.0.0 0.0.255.255

access-list 4 permit 202.38.160.1 0.0.0.255

两条规则结合则表示禁止一个大网段（202.38.0.0）上的主机但允许其中的一小部分主机（202.38.160.0）的访问。

可以使用相同的序号，建立多条规则，构成一个访问控制列表。

对于两条有冲突的规则或是有地址重叠的情况，判断的依据是“深度”，也就是描述的地址范围越小的，将会优先考虑。例如：

access-list 1 permit 202.38.160.0 0.0.255.255

access-list 1 deny 202.38.160.0 0.0.0.255

对于 202.38.160.23 这样的地址，访问列表是认为是拒绝的。因为第二条指定的地址范围小。

.6 访问列表的生效

访问列表在接口生效命令配置

基于接口配置访问列表，使访问列表生效

[no] ip access-group命令

ip access-group listnumber { in|out }

no ip access-group listnumber { in|out }

实例

在Serial0口配置模式下执行

ip access-group 1 in将在Serial0口上，对进入的数据包，使用访问控制列表1进行过滤。