系統(tǒng)介紹ACL控制步驟以及作用，ACL控制中ACL控制的執(zhí)行過程部分，ACL控制的分類設(shè)置問題等將是文章討論的重點(diǎn)，希望大家在閱讀完下面文章后能夠有一個清晰明了的認(rèn)識。

ACL控制介紹

訪問控制列表（Access Control List，ACL） 是路由器接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來分別控制這三種協(xié)議的數(shù)據(jù)包。

ACL的作用

ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL控制可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級。ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網(wǎng)段的通信流量。

ACL控制是提供網(wǎng)絡(luò)安全訪問的基本手段。例如，ACL控制允許主機(jī)A訪問人力資源網(wǎng)絡(luò)，而拒絕主機(jī)B訪問。ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。

ACL控制的執(zhí)行過程

一個端口執(zhí)行哪條ACL，這需要按照列表中的條件語句執(zhí)行順序來判斷。如果一個數(shù)據(jù)包的報(bào)頭跟表中某個條件判斷語句相匹配，那么后面的語句就將被忽略，不再進(jìn)行檢查。例如：某部門要求只能使用 WWW 這個功能，就可以通過ACL控制實(shí)現(xiàn)； 又例如，為了某部門的保密性，不允許其訪問外網(wǎng)，也不允許外網(wǎng)訪問它，就可以通過ACL控制實(shí)現(xiàn)。

ACL控制的分類

目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。標(biāo)準(zhǔn)的ACL使用 1 ~ 99 以及1300~1999之間的數(shù)字作為表號 擴(kuò)展的ACL使用 100 ~ 199以及2000~2699之間的數(shù)字作為表號這兩種ACL控制的區(qū)別是，標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的源地址; 擴(kuò)展ACL既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，同時還可以檢查數(shù)據(jù)包的特定協(xié)議類型、端口號等。

網(wǎng)絡(luò)管理員可以使用標(biāo)準(zhǔn)ACL阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍。

例如，網(wǎng)絡(luò)管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他可以使用擴(kuò)展ACL來達(dá)到目的，標(biāo)準(zhǔn)ACL不能控制這么精確。在路由器配置中，標(biāo)準(zhǔn)ACL和擴(kuò)展ACL的區(qū)別是由ACL的表號來體現(xiàn)的，上表指出了每種協(xié)議所允許的合法表號的取值范圍。

正確放置ACL控制

ACL通過過濾數(shù)據(jù)包并且丟棄不希望抵達(dá)目的地的數(shù)據(jù)包來控制通信流量。然而，網(wǎng)絡(luò)能否有效地減少不必要的通信流量，這還要取決于網(wǎng)絡(luò)管理員把ACL放置在哪個地方。假設(shè)在圖3所示的一個運(yùn)行TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)只想拒絕從RouterA的T0接口連接的網(wǎng)絡(luò)到RouterD的E1接口連接的網(wǎng)絡(luò)的訪問，即禁止從網(wǎng)絡(luò)1到網(wǎng)絡(luò)2的訪問。

根據(jù)減少不必要通信流量的通行準(zhǔn)則，網(wǎng)管員應(yīng)該盡可能地把ACL放置在靠近被拒絕的通信流量的來源處，即RouterA上。如果網(wǎng)管員使用標(biāo)準(zhǔn)ACL來進(jìn)行網(wǎng)絡(luò)流量限制，因?yàn)闃?biāo)準(zhǔn)ACL只能檢查源IP地址，所以實(shí)際執(zhí)行情況為：凡是檢查到源IP地址和網(wǎng)絡(luò)1匹配的數(shù)據(jù)包將會被丟掉，即網(wǎng)絡(luò)1到網(wǎng)絡(luò)2、網(wǎng)絡(luò)3和網(wǎng)絡(luò)4的訪問都將被禁止。

由此可見，這個ACL控制方法不能達(dá)到網(wǎng)管員的目的。同理，將ACL放在RouterB和RouterC上也存在同樣的問題。只有將ACL放在連接目標(biāo)網(wǎng)絡(luò)的RouterD上（E0接口），網(wǎng)絡(luò)才能準(zhǔn)確實(shí)現(xiàn)網(wǎng)管員的目標(biāo)。由此可以得出一個結(jié)論: 標(biāo)準(zhǔn)ACL要盡量靠近目的端。

網(wǎng)管員如果使用擴(kuò)展ACL來進(jìn)行上述控制，則完全可以把ACL放在RouterA上，因?yàn)閿U(kuò)展ACL能控制源地址（網(wǎng)絡(luò)1），也能控制目的地址（網(wǎng)絡(luò)2），這樣從網(wǎng)絡(luò)1到網(wǎng)絡(luò)2訪問的數(shù)據(jù)包在RouterA上就被丟棄，不會傳到RouterB、RouterC和RouterD上，從而減少不必要的網(wǎng)絡(luò)流量。因此，我們可以得出另一個結(jié)論：擴(kuò)展ACL要盡量靠近源端。