ACL，中文名称是“访问控制列表”，它由一系列规则（即描述报文匹配条件的判断语句）组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL，大大家肯定听不懂，那么我打个比喻，ACL相当于一个过滤器，ACL规则就是过滤器的滤芯，安装什么样的滤芯（即根据报文特征匹配的一系列ACL规则），ACL就能过滤出什么样的报文了。网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于 Cisco IOS的ACL进行编写。

(1)基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

(2)功能：网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

(3)配置ACL的基本原则：在实施ACL的过程中，应当遵循如下两个基本原则：

(4)最小特权原则：只给受控对象完成任务所必须的最小的权限

(5)最靠近受控对象原则：所有的网络层访问权限控制

(6)局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

一、为什么需要ACL？

根据规则过滤的ACL，能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等的功能，从而提高网络环境的安全性和网络传输的可靠性。

二、ACL的主要功能:
1、限制网络流量，提高网络性能
2、提供对通信流量的控制手段
3、提供网络访问的基本安全手段
4、在路由器接口处，决定哪种类型的通信流量被转发，哪种类型的通信流量被阻塞

三、ACL(访问控制列表)定义:

1、当网络流量不断增长的时候，对数据流进行管理和限制的方；2、作为通用判别标准应用到不同场合。ACL通过在路由器接口处控制路由器数据包是被转发还是被阳塞来过滤网络通信流量。路由器根据ACL中指定的条件来检测通过路由器的每个数据包，从而决定是转发还是丢弃该数据包。ACL中的条件，既可以是数据包的源地址，也可以是目的地址，还可以是上层协议或其他因素。

四、基本ACL：

主要针对IP报文的源IP地址进行匹配，基本ACL的编号范围是2000-2999。比如这个例子，创建的是acl 2000，就意味着创建的是基本ACL。

五、高级ACL：

可以根据IP报文中的源IP地址、目的IP地址、协议类型，TCP或UDP的源目端口号等元素进行匹配，可以理解为：基本ACL是高级ACL的一个子集，高级ACL可以比基本ACL定义出更精确、更复杂、更灵活的规则。

六、ACL规则配置

一条ACL可以由多条“deny或permit”语句组成，每一条语句描述一条规则，这些规则可能存在包含关系，也可能有重复或矛盾的地方，因此ACL的匹配顺序是十分重要的。华为设备支持两种匹配顺序：自动排序（auto模式）和配置顺序（config模式）。缺省的ACL匹配顺序是config模式。自动排序，是指系统使用“深度优先”的原则，将规则按照精确度从高到低进行排序，并按照精确度从高到低的顺序进行报文匹配。——这个比较复杂，这里就不具体展开了，感兴趣的同学可以课后查看资料。配置顺序，系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。——这个就是我们前面提到的匹配顺序。