在日常的网络学习和工作中，我们常常会遇到一个老朋友：ACL（Access Control List，访问控制列表）。

不管是准备考CCNA/HCNA，还是在公司网络设备上做安全策略配置，ACL 都是一个绕不过去的话题。

不过，许多刚入门的同学总是有一个经典疑问：

基础ACL和高级ACL，到底有什么区别？它们的编号范围又是多少？

今天我们就来好好聊聊这个问题，尽量用通俗易懂的方式，把这块“老生常谈”的知识点给掰开揉碎讲透彻。

基础ACL和高级ACL，到底有什么区别？它们的编号范围又是多少？

ACL 到底是干啥的？

先别急着看范围，我们得先知道 ACL 的作用。

ACL，说白了，就是一套“规则清单”。就像小区门口的保安手里拿着一张名单：

• 在名单上的人，可以放行。
• 不在名单上的人，一律拦截。

网络设备中的 ACL 也是同理：它通过对报文的源IP、目标IP、协议、端口等条件进行匹配，决定这些报文是“允许通过”还是“拒绝丢弃”。

而 ACL 之所以分成基础（Standard ACL）和高级（Extended ACL），就是由于它们能检查的“条件”不同。

基础ACL

基础ACL（Standard ACL），是最简单的一类 ACL。

它的特点就是：

• 只根据报文的源IP地址来判断是否放行。
• 不关心目标IP，也不管用的是什么协议或端口。

打个比方：

你在小区门口做门禁，基础ACL就相当于只看“这个人从哪里来的”。

列如说：来自 192.168.1.0 网段的，都放行；来自 10.0.0.0 网段的，直接拦住。

至于这些人是去超市，还是去健身房，门禁一点都不关心。

在思科（Cisco）的标准中，基础ACL的编号范围是：

1 – 99
1300 – 1999（扩展出来的基础ACL编号）

也就是说，如果你在设备上创建 ACL 1 或 ACL 50，它就是基础ACL。如果你写 ACL 1500，它也是基础ACL，只不过用的扩展编号。

基础ACL一般用在一些简单的网络过滤场景，列如：

• 限制某个部门的电脑不能访问外网；
• 屏蔽某个来源IP的流量。

它的配置简单，但灵活性有限。

高级ACL

高级ACL（Extended ACL），顾名思义就是更“高级”。

它能过滤的条件更多，包括：

• 源IP地址
• 目标IP地址
• 协议类型（TCP、UDP、ICMP 等）
• 源端口号、目标端口号

这下就好比门禁不光看“人从哪来”，还要看“他要去哪里”、“干什么事”。列如：

• 允许 192.168.1.10 访问 8.8.8.8 的 80 端口（HTTP），
• 但禁止它访问 8.8.8.8 的 22 端口（SSH）。

这种控制就相当精细化了。

在思科的标准里：

100 – 199
2000 – 2699（扩展出来的高级ACL编号）

所以如果你写 ACL 101，那就是高级ACL；写 ACL 2500，那也是高级ACL。

高级ACL用得比基础ACL要广泛得多，常见场景包括：

• 对不同的业务端口做限制，列如禁止 P2P 下载、只允许 HTTP；
• 控制特定主机只能访问指定服务器；
• 在企业防火墙或路由器上进行流量精细化管理。

一句话总结：基础ACL粗犷，高级ACL精细。

编号范围对比

为了方便记忆，我整理了一张表格：

基础ACL和高级ACL，到底有什么区别？它们的编号范围又是多少？

是不是一目了然？

配置示例

基础ACL配置例子

需求：禁止 192.168.10.0/24 网段访问外网

Router(config)# access-list 10 deny 192.168.10.0 0.0.0.255
Router(config)# access-list 10 permit any
Router(config)# interface g0/0
Router(config-if)# ip access-group 10 out

解释：

• 第一句表明禁止 192.168.10.0/24。
• 第二句是“兜底放行”，否则其他人也过不去。
• 最后把ACL绑定到出口接口。

高级ACL配置例子

需求：允许 192.168.1.10 访问 10.1.1.1 的80端口（HTTP），禁止其他端口

Router(config)# access-list 101 permit tcp host 192.168.1.10 host 10.1.1.1 eq 80
Router(config)# access-list 101 deny ip any any
Router(config)# interface g0/0
Router(config-if)# ip access-group 101 out