acl number 3000    

rule 1 permit ip source 10.0.5.0 0.0.0.255 destination 172.16.1.100 0   #允许10.0.5.0/24访问172.16.1.100.0这个ip，允许访问单个ip，格式为rule 数字 permit ip source ip 子网掩码反码 destination ip 0 ，其中数字可以随便定，建议尽量小一点，子网掩码反码就是子网掩码反过来就行，例如目前我的子网掩码是255.255.255.0，那么子网掩码反码就是0.0.0.255，如果是单独ip，则最后一个数字设为0即可。我简单理解为局域网的反子网掩码是0.0.0.255,单ip的反子网掩码是0

rule 3 permit ip source 10.0.5.164 0 destination 172.16.1.0 0.0.0.255    

rule 5 deny ip source 10.0.5.0 0.0.0.255 destination 172.16.1.0 0.0.0.255   #禁止10.0.5.0/24访问172.16.1.0/24

rule 20 permit ip  #允许所有ip相互访问，但是这个优先级最低，上面的规则会覆盖掉这个

如果不小心写错了，可以执行undo rule 5 deny ip source 10.0.5.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 ，如果报错，就把后面的多余的参数去掉，例如，只写到deny那里就行了，回车之后，undo后面的命令失效