ACL即访问控制列表，是路由器或交换机用来筛选控制IP数据包的规则。

ACL的使用要分三个步骤来：一是创建ACL规则，二是创建rule子规则，三是下发到端口。下面分别来讲：

首先，定义一条ACL规则。命令如下：

       [s3928]acl number 3001

然后，定义Rule规则。这是acl配置最复杂也是功能最强大的地方。命令如下：

       [s3928-acl-adv-3001]rule 0 deny ip source any destination 211.51.16.245 0.0.0.0

最后，把规则下放到交换机物理端口。 命令如下：

       [s3928]interface e1/0/19

       [s3928-Ethernet1/0/19]packet-filter outbound ip-group 3001

       [s3928-Ethernet1/0/19]packet-filter outbound ip-group 3001 rule 1

ACL的其它操作：

显示ACL列表，命令：

       display acl all

       display acl 2001

取消ACL操作命令：

       [s3928]undo acl number 3001

       [s3928-acl-adv-3001]undo rule 0

       [s3928-Ethernet1/0/19]undo packet-filter outbound ip-group 3001

Rule举例：

       [s3928-acl-adv-3001]rule 0 deny tcp destination 211.51.16.245 0 destination-port eq www precedence routine tos normal   // block www service

       [s3928-acl-adv-3001]rule 1 deny icmp destination 211.51.16.245 0   // block icmp package

［注意］

（1）、一条Acl，增加了rule了后，要单独再应用该ACL的该Rule才会生效

（2）、思考：如果把屏蔽IP的ACL做在交换机的上行口，是否会减少广播？