ACL的配置
　　
　　ACL的配置分为两个步骤：
　　
　　第一步:在全局配置模式下，使用下列命令创建ACL：
　　
　　Router (config)# access-list access-list-number {permit | deny } {test-conditions}
　　
　　其中，access-list-number为ACL的表号。人们使用较频繁的表号是标准的IP ACL（1—99）和扩展的IP ACL（100－199）。
　　
　　在路由器中，如果使用ACL的表号进行配置，则列表不能插入或删除行。如果列表要插入或删除一行，必须先去掉所有ACL，然后重新配置。当ACL中条数很多时，这种改变非常烦琐。一个比较有效的解决办法是：在远程主机上启用一个TFTP服务器，先把路由器配置文件下载到本地，利用文本编辑器修改ACL表，然后将修改好的配置文件通过TFTP传回路由器。
　　
　　这里需要特别注意的是，在ACL的配置中，如果删掉一条表项，其结果是删掉全部ACL，所以在配置时一定要小心。
　　
　　在Cisco IOS11.2以后的版本中，网络可以使用名字命名的ACL表。这种方式可以删除某一行ACL，但是仍不能插入一行或重新排序。所以，笔者仍然建议使用TFTP服务器进行配置修改。
　　
　　第二步：在接口配置模式下，使用access-group命令ACL应用到某一接口上：
　　
　　Router (config-if)# {protocol} access-group access-list-number {in | out }
　　
　　其中，in和out参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为out。
　　
　　ACL在一个接口可以进行双向控制，即配置两条命令，一条为in，一条为out，两条命令执行的ACL表号可以相同，也可以不同。但是，在一个接口的一个方向上，只能有一个ACL控制。
　　
　　值得注意的是，在进行ACL配置时，网管员一定要先在全局状态配置ACL表，再在具体接口上进行配置，否则会造成网络的安全隐患。