Cisco IOS软件可用于各种Cisco路由器，它提供了QoS、VPN、安全和管理等许多功能，受到广大网络管理人员的欢迎。特别是通过路由器把局域网接入Internet的中小企业， Cisco IOS为他们带来了许多方便。在Cisco IOS中，访问列表（Access List）是其中一项重要功能。访问列表是一些语句的有序的集合，它根据网络中每个数据包所包含信息的内容，决定是否允许该信息包通过接口，访问列表中的参数也用于对数据包的信息内容做指定的处理。
　　
　　访问列表的作用
　　
　　---- 对于一个数据包来说，在访问列表对其进行处理时，访问列表中的语句按照由上而下的顺序依次对数据包进行处理，直到出现匹配的情况，决定是否让访问列表通过。这样，访问列表中语句的顺序是非常重要的。这点在本文的后面还要加以说明。
　　
　　---- 就访问列表本身来说，它只是放在路由器内部的存储器中的一串语句。创建访问列表是针对某个路由器接口的，访问列表中的语句将对通过接口的数据包产生作用。它可以允许或阻止满足一定条件的数据包通过接口。在访问列表中，接口也可以是具体的线路和设备。接口一般以数字编号。
　　
　　---- 在访问列表的运用方面，有一个重要的问题，就是接口的方向问题。访问列表即可以用于入口（inbound），也可以用于出口（outbound）。图1表示了一台具有1个串口和2个以太网端口的路由器，在每个端口，指向路由器外的箭头表示出口，而指向路由器内的箭头表示入口。图中分别用S0、E0和E1表示串口0、以太网端口0和以太网端口1的接口。根据前述的内容，可以得出访问列表的规则1和规则2。
　　　
　　标准型IP访问列表
　　
　　---- Cisco的路由器支持2种类型的访问列表，即标准型访问列表和扩展型访问列表。和其他网络厂商一样，Cisco的路由器产品支持多种网络协议。由于在网络中，尤其是局域网，主要是应用IP协议，所以本文只涉及IP协议的情况。
　　
　　---- 标准IP访问列表的功能有限，因为这种列表只能根据数据包的源地址进行过滤。如果需要根据协议、目标地址及传输层上的应用进行过滤，或根据上述项目的组合进行过滤，那么就必须使用扩展型访问列表。基于这种分类方式，可以总结出访问列表的规则3和规则4。
　　
　　---- （1）标准型IP访问列表的格式
　　
　　---- 标准型IP访问列表的格式如下：
　　
　　---- access-list[list number][permit|deny][source address]
　　---- [address][wildcard mask][log]
　　
　　---- 下面解释一下标准型IP访问列表的关键字和参数。首先，在access和list这2个关键字之间必须有一个连字符"-"；其次，list number的范围在0～99之间，这表明该access-list语句是一个普通的标准型IP访问列表语句。因为对于Cisco IOS，在0～99之间的数字指示出该访问列表和IP协议有关，所以list number参数具有双重功能: （1）定义访问列表的操作协议; （2）通知IOS在处理access-list语句时，把相同的list number参数作为同一实体对待。正如本文在后面所讨论的，扩展型IP访问列表也是通过list number（范围是100～199之间的数字）而表现其特点的。因此，当运用访问列表时，还需要补充如下重要的规则: 在需要创建访问列表的时候，需要选择适当的list number参数。
　　
　　---- （2）允许/拒绝数据包通过
　　
　　---- 在标准型IP访问列表中，使用permit语句可以使得和访问列表项目匹配的数据包通过接口，而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。source address代表主机的IP地址，利用不同掩码的组合可以指定主机。
　　
　　---- 为了更好地了解IP地址和通配符掩码的作用，这里举一个例子。假设您的公司有一个分支机构，其IP地址为C类的192.46.28.0。在您的公司，每个分支机构都需要通过总部的路由器访问Internet。要实现这点，您就可以使用一个通配符掩码 0.0.0.255。因为C类IP地址的最后一组数字代表主机，把它们都置1即允许总部访问网络上的每一台主机。因此，您的标准型IP访问列表中的access-list语句如下：
　　
　　---- access-list 1 permit 192.46.28.0 0.0.0.255
　　
　　---- 注意，通配符掩码是子网掩码的补充。因此，如果您是网络高手，您可以先确定子网掩码，然后把它转换成可应用的通配符掩码。这里，又可以补充一条访问列表的规则5。
　　
　　---- （3）指定地址
　　
　　---- 如果您想要指定一个特定的主机，可以增加一个通配符掩码0.0.0.0。例如，为了让来自IP地址为192.46.27.7的数据包通过，可以使用下列语句：
　　
　　---- Access-list 1 permit 192.46.27.7 0.0.0.0
　　
　　---- 在Cisco的访问列表中，用户除了使用上述的通配符掩码0.0.0.0来指定特定的主机外，还可以使用"host"这一关键字。例如，为了让来自IP地址为192.46.27.7的数据包通过，您可以使用下列语句：
　　
　　---