对应章节：第八章
重点：访问列表的类型、标准访问列表、扩展访问列表 NAT，PAT，过载
难点：如何配置访问列表语句
亮点/应用/重要性：在实际的网络管理中，我们需要使用访问列表来控制数据流量，以及关联访问列表进行地址转换
主要内容：从访问列表的作用和语句构成开始，然后重点介绍如何写访问列表的步骤和思路，以及简单的配置地址转换

访问控制列表及网络地址转换（20061115)在线专题授课音视频

（本课程正式学员可登录学习系统，进入对应课程，在窗口左边的“课程资料室”内进行在线浏览。）

一、访问列表的具体作用和用途。

访问控制列表具有区分数据包的功能。
访问控制列表可以用于防火墙；
访问控制列表可以用于Qos（Quality of Service）,对数据流量进行控制；
在DCC（拨号控制中心）中，访问控制列表还可以用来规定触发拨号的条件；
访问控制列表还可以用于地址转换；
在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。

二、 访问控制列表的原理及分类

路由器将在使能访问控制列表的接口上对所有的数据包进行规则的匹配检查。
IP数据包具有一定的特征，所承载的上层协议为TCP/UDP。IP数据包包括（IP报头（协议号、源地址、目的地址）、TCP/UDP报头（源端口、目的端口）、数据）。

分类：
·利用数字标识访问控制列表
·利用数字范围标识访问控制列表的种类

　　列表种类 　　　　　数字标识范围
IP standard list　　　　 1—99
IP extended list 　　　　100--199

三、 标准列表和扩展列表的比较

标准访问控制列表只只是根据数据包的源地址对数据包进行区分，表明允许还是拒绝。
acl acl-number [match-order auto | config]
rule {normal | special} {permit | deny} [source source-addr source-wildcard | any]

扩展访问控制列表使用除源地址外更多的信息描述数据包，表明允许还是拒绝。
对于使用TCP、UDP协议传输的数据包还可以同时使用端口号来对数据包做出区分。
rule {normal | special } {permit | deny} {tcp |udp} [source source-addr source-wildcard |any] [source-port operator port1 [port2]] [destination dest-addr dest-wildcard |any] [destination-port operator port1 [port2] ][logging]

四、 访问控制列表的具体操作步骤

· 启用防火墙
· 定义访问控制列表
· 将访问控制列表应用在接口上
实际应用中可能用到以下扩展应用：
1. 设置防火墙的缺省过滤模式 2. 允许或禁止时间段 3.设定时间段 4. 允许日志主机 5. 指定日志主机 6. 显示配置状况