基本内容：
编写一个满足用户需求的访问列表
实现访问列表
访问列表故障诊断
包控制评估规则

访问列表基本上是一系列对包进行分类的条件.当你需要控制网络流量时它们真的是非常有用
访问列表基本上是对包进行比较、分类，然后根据条件实施操作的包过滤器，列表一旦建立，可以应用到任何端口输入或输出方向的流量上，应用访问列表之后，路由器会分析通过那个接口特定方向的每个包，并执行相应操作

数据包和访问列表相比较时遵循的重要原则是：
1，通常是按顺序比较访问列表的每一行，例如，通常从第一行开始，然后转到第二行，第三行等等
2，比较访问列表的各行直到比较到匹配的一行，一旦数据包与访问列表的某一行匹配，遵照规定行事，不再进行后续比较
3，在每个访问列表的最后一行是隐含deny语句，意味着如果数据包与访问列表中的所有行都不匹配，将被丢弃

访问列表类型：
标准的访问列表
扩展的访问列表
命名的访问列表
输入型访问列表
输出型访问列表

在路由器上创建和实现访问列表时：
1，每个接口、每个协议或每个方向只可以分派一个访问列表，这意味着如果创建了IP访问列表，每个接口只能有一个输入型访问列表和一个输出型访问列表
2，组织好访问列表，要将更特殊的测试放在访问列表的最前面
3，任何时候访问列表添加新条目时，将把新条目放置到列表的末尾
4，不能从访问列表中删除一行
5，除非在访问列表末尾有permit any命令，否则所有和列表的测试条件都不符合的数据包将被丢弃
6，先创建访问列表，然后将列表应用到一个接口
7，访问列表设计为过滤通过路由器的路由，但不过滤路由器产生的流量
8，将IP标准的访问列表尽可能放置在靠近目的地址的位置
9，将IP扩展的访问列表尽可能放置在靠近源地址的位置

通配符和访问列表一起用来指定一个主机、一个网络、一个网络或几个网络内的某个范围.要理解通配符，需要理解什么是块大小，它常常指地址范围

使用块大小和通配符时要牢记下面两个注意事项：
1，每个块大小必须从0或一个块大小的辈数开始
2，any命令和通配符0.0.0.0 255.255.255.255的意义是一样的

通过使用扩展的访问列表，可以有效地允许用户访问物理LAN的同时不允许访问特定的主机－或者甚至那些主机上的特定服务

用于验证访问列表配置的命令：
show access-list：显示在路由器上配置的所有访问列表及其参数.这个命令不显示哪些接口设置了访问列表
show access-list 100：只显示访问列表110的参数
show ip access-list：只显示路由器上配置的IP访问列表
show ip interface：显示哪些接口设置了访问列表
show running-config：显示访问列表和哪些接口设置了访问列表

************************************************************************************
考试要点：
1，记住标准的和扩展的IP访问列表号码范围
2，理解术语"implicit deny"
3，理解标准的IP访问列表配置命令
4，理解扩展的IP访问列表配置命令
5，记住在接口上验证访问列表的命令