系統介紹ACL控制步驟以及作用，ACL控制中ACL控制的執行過程部分，ACL控制的分類設置問題等將是文章討論的重點，希望大家在閱讀完下面文章后能夠有一個清晰明了的認識。

ACL控制介紹

訪問控制列表（Access Control List，ACL） 是路由器接口的指令列表，用來控制端口進出的數據包。ACL適用于所有的被路由協議，如IP、IPX、AppleTalk等。ACL的定義也是基于每一種協議的。如果路由器接口配置成為支持三種協議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來分別控制這三種協議的數據包。

ACL的作用

ACL可以限制網絡流量、提高網絡性能。例如，ACL控制可以根據數據包的協議，指定數據包的優先級。ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量。

ACL控制是提供網絡安全訪問的基本手段。例如，ACL控制允許主機A訪問人力資源網絡，而拒絕主機B訪問。ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。

ACL控制的執行過程

一個端口執行哪條ACL，這需要按照列表中的條件語句執行順序來判斷。如果一個數據包的報頭跟表中某個條件判斷語句相匹配，那么后面的語句就將被忽略，不再進行檢查。例如：某部門要求只能使用 WWW 這個功能，就可以通過ACL控制實現； 又例如，為了某部門的保密性，不允許其訪問外網，也不允許外網訪問它，就可以通過ACL控制實現。

ACL控制的分類

目前有兩種主要的ACL:標準ACL和擴展ACL。標準的ACL使用 1 ~ 99 以及1300~1999之間的數字作為表號 擴展的ACL使用 100 ~ 199以及2000~2699之間的數字作為表號這兩種ACL控制的區別是，標準ACL只檢查數據包的源地址; 擴展ACL既檢查數據包的源地址，也檢查數據包的目的地址，同時還可以檢查數據包的特定協議類型、端口號等。

網絡管理員可以使用標準ACL阻止來自某一網絡的所有通信流量，或者允許來自某一特定網絡的所有通信流量，或者拒絕某一協議簇（比如IP）的所有通信流量。擴展ACL比標準ACL提供了更廣泛的控制范圍。

例如，網絡管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他可以使用擴展ACL來達到目的，標準ACL不能控制這么精確。在路由器配置中，標準ACL和擴展ACL的區別是由ACL的表號來體現的，上表指出了每種協議所允許的合法表號的取值范圍。

正確放置ACL控制

ACL通過過濾數據包并且丟棄不希望抵達目的地的數據包來控制通信流量。然而，網絡能否有效地減少不必要的通信流量，這還要取決于網絡管理員把ACL放置在哪個地方。假設在圖3所示的一個運行TCP/IP協議的網絡環境中，網絡只想拒絕從RouterA的T0接口連接的網絡到RouterD的E1接口連接的網絡的訪問，即禁止從網絡1到網絡2的訪問。

根據減少不必要通信流量的通行準則，網管員應該盡可能地把ACL放置在靠近被拒絕的通信流量的來源處，即RouterA上。如果網管員使用標準ACL來進行網絡流量限制，因為標準ACL只能檢查源IP地址，所以實際執行情況為：凡是檢查到源IP地址和網絡1匹配的數據包將會被丟掉，即網絡1到網絡2、網絡3和網絡4的訪問都將被禁止。

由此可見，這個ACL控制方法不能達到網管員的目的。同理，將ACL放在RouterB和RouterC上也存在同樣的問題。只有將ACL放在連接目標網絡的RouterD上（E0接口），網絡才能準確實現網管員的目標。由此可以得出一個結論: 標準ACL要盡量靠近目的端。

網管員如果使用擴展ACL來進行上述控制，則完全可以把ACL放在RouterA上，因為擴展ACL能控制源地址（網絡1），也能控制目的地址（網絡2），這樣從網絡1到網絡2訪問的數據包在RouterA上就被丟棄，不會傳到RouterB、RouterC和RouterD上，從而減少不必要的網絡流量。因此，我們可以得出另一個結論：擴展ACL要盡量靠近源端。