華為3COM設備中訪問控制列表ACL分很多種，不同場合應用不同種類的ACL。其中最簡單的就是標準訪問控制列表，他是通過使用IP包中的源IP地址進行過濾，使用的訪問控制列表號1到99來創建相應的ACL。

一，標準訪問控制列表的格式：

標準訪問控制列表是最簡單的ACL。他的具體格式如下：

acl ACL號

//進入ACL設置界面

rule permit|deny source IP地址 反向子網掩碼

例如：rule deny source 192.168.1.1 0.0.0.0這句命令是將所有來自192.168.1.1地址的數據包丟棄。當然我們也可以用網段來表示，對某個網段進行過濾。命令如下：

rule deny source 192.168.1.0 0.0.0.255

//將來自192.168.1.0/24的所有計算機數據包進行過濾丟棄。為什么后頭的子網掩碼表示的是0.0.0.255呢？這是因為華為設備和CISCO一樣規定在ACL中用反向掩瑪表示子網掩碼，反向掩碼為0.0.0.255的代表他的子網掩碼為255.255.255.0。

二，配置實例：

要想使標準ACL生效需要我們配置兩方面的命令：

1，ACL自身的配置，即將詳細的規則添加到ACL中。

2，宣告ACL，將設置好的ACL添加到相應的端口中。

網絡環境介紹：
我們采用如下圖所示的網絡結構。路由器連接了二個網段，分別為172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24網段中有一臺服務器提供WWW服務，IP地址為172.16.4.13。

　498)this.style.width=498;">

實例1：禁止172.16.4.0/24網段中除172.16.4.13這臺計算機訪問172.16.3.0/24的計算機。172.16.4.13可以正常訪問172.16.3.0/24。

路由器配置命令：

acl 1

//設置ACL 1，并進入ACL設置模式

rule deny source any

//設置ACL，阻止其他一切IP地址進行通訊傳輸。

int e1

//進入E1端口。

firewall packet-filter 1 inbound

//將ACL 1宣告。

經過設置后E1端口就只容許來自172.16.4.13這個IP地址的數據包傳輸出去了。來自其他IP地址的數據包都無法通過E1傳輸。

小提示：

由于華為3COM的設備是默認添加了permit ANY的語句在每個ACL中，所以上面的rule deny source any這句命令可以必須添加的，否則設置的ACL將無法生效，所有數據包都會因為結尾的permit語句而正常轉發出去。另外在路由器連接網絡不多的情況下也可以在E0端口使用firewall packet-filter 1 outbound命令來宣告，宣告結果和上面最后兩句命令效果一樣。

實例2：禁止172.16.4.13這個計算機對172.16.3.0/24網段的訪問，而172.16.4.0/24中的其他計算機可以正常訪問。

路由器配置命令：

access-list 1

//設置ACL，進入ACL1設置界面。

rule deny source 172.16.4.13 0.0.0.0

//阻止172.16.4.13這臺計算機訪問。

rule permit source any（如下圖）

//設置ACL，容許其他地址的計算機進行通訊

int e1

//進入E1端口

firewall packet-filter 1 inbound
//將ACL1宣告，同理可以進入E0端口后使用firewall packet-filter 1 outbound來完成宣告。

498)this.style.width=498;">

配置完畢后除了172.16.4.13其他IP地址都可以通過路由器正常通訊，傳輸數據包。需要提醒一點的是默認情況下華為設備在ACL結尾添加了rule permit source any的語句，所以本例中可以不輸入該語句，效果是一樣的。
總結：
標準ACL占用路由器資源很少，是一種最基本最簡單的訪問控制列表格式。應用比較廣泛，經常在要求控制級別較低的情況下使用。如果要更加復雜的控制數據包的傳輸就需要使用擴展訪問控制列表了，他可以滿足我們到端口級的要求。