设置ACL的一些规则：

1，默认是按顺序进行比较，先比较第一行，再比较第二行，直到最后一行；

2，从第一行起，直到找到1个符号条件的行；符合之后，其余的行就可以不用继续比较下去；

3，默认在每个ACL中最后一行都隐藏有拒绝所有或者允许所有，这个规则可以自行调整，在华为中一般是允许所有通过，思科一般是拒绝所有。

访问控制列表用来限制使用者或设备，达到控制网络流量，解决拥塞，提高安全性等。在IP网络中，可以使用的访问列表一般有基础访问列表（华为ACL的编号为为2000-2999）、高级访问列表（ACL编号是3000-3999）两种。

（1）基本访问列表

功能说明：只能基于源IP地址进行判定是否允许或拒绝数据包通过。

基本配置：

acl [number] acl-number（2000-2999）[match-order] {auto | config}

其中参数有auto和config。

当然，ACL支持两种匹配规则：

配置顺序（config）：按照用户配置规则的先后顺序进行规则匹配。系统默认的匹配顺序是config。

自动排序（auto）：按照“深度优先”的顺序进行规则匹配。系统优先考虑地址范围小的规则。

最后再把这个ACL应用在路由器的某个接口上：

[Huawei-gigabitethernet 1/0/3]traffic-filter outbound acl 2000

路由器的接口分为入方向inbound和出方向outbound。

（2）高级访问列表

高级访问控制列表可以根据源IP地址、目的IP地址、IP报文承载的协议类型、端口号等三四层信息制定规则，所以高级ACL比基本ACL过滤信息更加精准、更灵活。

配置过程：

acl [number] acl-number（3000-3999） [match-order] {auto | config}

设置访问控制列表号。

rule [rule-id] permit | deny  {protocol} source 源IP地址 反掩码 destination 目的IP地址 反掩码 destination-port eq 端口号

高级访问控制列表应该尽量放置在接近数据流的源的地方，基础的访问控制列表应该尽量放置在接近数据流的目的地方