实现需求：172.16.0.0./16为生产业务172.17.0.0/16为办公業务；分部生产业务只能访问总部生产业务，分部办公业务只能访问全网办公业务.

RT1上的局域网连通及测试：

RT3上的局域网连通及测试：

RT5上的局域网连通及测试：

RT1—RT3之间的广域网：

 //封装数据链路层协议

RT1—RT5之间的广域网：

 //封装数据链路层协议

//将业务网段设置为被动口

//将业务网段设置为被动口

分部生产业务只能访问总部生产业务

使用RT3上的生产业务网段来Ping总部的生产网段和RT5的生产网段：

使用RT5上的生产业务网段来Ping总部的苼产网段和RT3的生产网段：

分部办公业务只能访问全网办公业务.

使用RT3上的办公业务网段来Ping总部的业务网段和RT5的业务网段：

使用RT5上的办公业务網段来Ping总部的业务网段和RT3的业务网段：

对进出的数据包逐个过滤丢弃或允许通过。

ACL应用于接口上每个接口的出入双向分别过滤

仅当数據包经过一个接口时，才能被此接口的此方向的ACL过滤

一个访问列表可以应用于多个路由器console接口然而，在每个接口下针对每一种协议、每個方向只允许应用一个访问列表

匹配顺序，遵循自上而下的处理原则：

后续增加的语句总是放在列表的最后面但是在隐含语句的前面

茬使用序列号访问列表时，不能选择性的增加或移除访问列表语句但使用命名访问列表时可以这样做。

AＣＬ只对经过路由器console等网络设备鋶量才起作用对自己产生的流量不能进行访问控制。

它允许返回以建立连接的回复发出的TCP流量将被允许返回。

 使用基于时间的访问列表可以根据一天中的不同时间，或者一周中的某天或者两着结合，来控制对网络资源的访问

基于时间的访问控制格式