ACL 有三种类型：

标准 ACL

标准 ACL 是其中最简单的一类。创建标准的 IP ACL 时，ACL 根据数据包的源 IP 地址过滤数据包。标准 ACL 对流量的允许或拒绝是基于整个协议（例如 IP）的。因此，如果某台主机设备被标准 ACL 拒绝访问，则该主机提供的所有服务也会被拒绝访问。标准 ACL 可用来允许来自某个特定用户或 LAN 的所有服务访问路由器，同时拒绝其它 IP 地址访问路由器。标准 ACL 是通过指定给它们的数字来进行识别的。对于允许或拒绝 IP 流量的访问列表，标识号的范围是 1 到 99 和 1300 到 1999。

扩展 ACL

扩展 ACL 不仅可以根据源 IP 地址过滤，也可根据目的 IP 地址、协议和端口号过滤流量。扩展 ACL 的应用比标准 ACL 更广泛，因为它们更具体，能够提供更精确的控制。扩展 ACL 的编号范围是 100 到 199 和 2000 到 2699。

命名 ACL

命名 ACL (NACL) 是通过描述性名称（而非数字）引用的访问列表，命名 ACL 既可以是标准格式，也可以是扩展格式。配置命名 ACL 时，路由器的 IOS 会使用 NACL 子命令模式。

创建 ACL 的目的常常是希望阻止外部源访问内部网络。但是，在保护内部网的同时，它还应允许内部用户访问所有资源。在内部用户访问外部资源时，所请求的资源必须通过 ACL。例如，内部用户可能希望连接到外部 Web 服务器，因此 ACL 必须允许所请求的 html 数据包。由于 ACL 会使用隐式拒绝，因此必须通过 ACL 明确允许访问该资源。如果为所有要请求的资源都创建一条 permit 语句，那会导致 ACL 非常冗长并留下安全漏洞。

要解决这个问题，可以请求创建一条语句，允许内部用户建立 TCP 会话访问外部资源。完成 TCP 三次握手并建立连接之后，将允许两个设备之间发送的所有数据包。要实现上述功能，请使用关键字：established。

access-list 101 permit tcp any any established

使用此语句，所有外部 tcp 数据包都将被允许，只要它们是对内部请求的响应。允许对已建立的通信作出传入响应是状态包侦测 (SPI) 的一种形式。

除了已建立的流量之外，内部用户可能还需要 ping 外部设备。但并不希望允许外部用户 ping 或跟踪内部网络中的设备。这种情况下，可以使用关键字 echo-reply 和 unreachable 编写一条语句来允许 ping 响应和无法送达的消息。但除非在另一条语句中明确允许，否则外部发起的 ping 将被拒绝。