原理概述：
訪問控制列表(ACL)是一種基於包過濾的​ ​訪問控制技術​​，它可以根據設定的條件對介面上的資料包進行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應用於​ ​路由器​​和​ ​三層交換機​​，藉助於訪問控制列表，可以有效地控制使用者對網路的訪問，從而最大程度地保障​ ​網路安全​​。

1）限制網路流量、提高網路效能。

例如，ACL可以根據資料包的協議，指定這種型別的資料包具有更高的優先順序，同等情況下可預先被網路裝置處理。 

2）提供對通訊流量的控制手段。 

3）提供網路訪問的基本安全手段。 

4）在網路裝置介面處，決定哪種型別的通訊流量被轉發、哪種型別的通訊流量被阻塞。

①當一個數據包進入一個埠，路由器檢查這個資料包是否可路由。

如果是可以路由的，路由器檢查這個埠是否有ACL控制進入資料包。

如果有，根據ACL中的條件指令，檢查這個資料包。

如果資料包是被允許的，就查詢路由表，決定資料包的目標埠。 

②路由器檢查目標埠是否存在ACL控制流出的資料包。 

若不存在，這個資料包就直接傳送到目標埠。

若存在，就再根據ACL進行取捨。然後在轉發到目的埠。

總之，一入站資料包，由路由器處理器調入記憶體，讀取資料包的包頭資訊，如目標IP地址，並搜尋路由器的路由表，檢視是否在路由表項中，如果有，則從路由表的選擇介面轉發（如果無，則丟棄該資料包），資料進入該介面的訪問控制列表（如果無訪問控制規則，直接轉發），然後按條件進行篩選。

當ACL處理資料包時，一旦資料包與某條ACL語句匹配，則會跳過列表中剩餘的其他語句，根據該條匹配的語句內容決定允許或者拒絕該資料包。如果資料包內容與ACL語句不匹配，那麼將依次使用ACL列表中的下一條語句測試資料包。該匹配過程會一直繼續，直到抵達列表末尾。最後一條隱含的語句適用於不滿足之前任何條件的所有資料包。這條最後的測試條件與這些資料包匹配，通常會隱含拒絕一切資料包的指令。此時路由器不會讓這些資料進入或送出介面，而是直接丟棄。最後這條語句通常稱為隱式的“deny any”語句。由於該語句的存在，所以在ACL中應該至少包含一條permit語句，否則，預設情況下，ACL將阻止所有流量。

訪問控制列表的使用
ACL的使用分為兩步：

(1)建立訪問控制列表ACL，根據實際需要設定對應的條件項；

(2)將ACL應用到路由器指定介面的指定方向(in/out)上。

在ACL的配置與使用中需要注意以下事項：

(1)ACL是自頂向下順序進行處理，一旦匹配成功，就會進行處理，且不再比對以後的語句，所以ACL中語句的順序很重要。應當將最嚴格的語句放在最上面，最不嚴格的語句放在底部。

(2)當所有語句沒有匹配成功時，會丟棄分組。這也稱為ACL隱性拒絕。

(3)每個介面在每個方向上，只能應用一個ACL。

(4)標準ACL應該部署在距離分組的目的網路近的位置，擴充套件ACL應該部署在距離分組傳送者近的位置。