简介

ACL路由控制是用来管理进出流量的，管理员可以按需在路由器中设置ACL条目用来管控进出流量。

通配符

常见的，我们可以通过指令配置ACL

[Router]acl 2000
[Router]rule 5 deny source 192.168.1.0 0.0.0.255

如上面例子可知，我们能通过0.0.0.255通配符准确筛选目标网段的IP地址。

稍难一点的，倘若我们打算允许单数地址通过，双数不允许，也能通过通配符实现筛选。

我们可以通过将十进制数转化为二进制寻找到规律 ![[Pasted image 20221219150518.png]]

如图所示，所有单数的末尾都是1，双数的末尾都是0，而0.0.0.255意味着前三位数是固定的，后一位数是任意的，因此我们需要更改一下末尾的数，将其更改为0.0.0.254，即0.0.0. 11111110这样就意味着末尾的数的二进制前七位是任意，末尾必须是固定的。配合前面的IP地址192.168.1.1

即192.168.1.00000001和0.0.0.11111110实现将末尾固定为1才能通过。

**rule 5代表了序号为5的规则，匹配是从1开始的，当遇到匹配条目时，后续的将不再匹配 **

上述在acl 2000中配置的rule只是一条匹配条目而已，我们还需要将其绑定在指定接口上，通过进入接口视图后，输入traffic-filter inbound acl 2000这样就能将2000的所有条目绑定在该接口上。