ACL （Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包，ACL是最基本的网络安全手段，工作中经常会用，ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。
访问控制列表分为两种类型：
1.标准访问控制列表：检查被路由数据包的源地址、1~99代表号
2.扩展访问控制列表：对数据包的源地址与目标地址进行检查。
访问控制列表最常见的用途是作为数据包的过滤器。
其他用途；可指定某种类型的数据包的优先级，以对某些数据包优先处理
识别触发按需拨号路由（DDR）的相关通信量
路由映射的基本组成部分
ACL能够用来：
提供网络访问的基本安全手段
访问控制列表可用于Qos（QualityofService,服务质量）对数据流量进行控制。
可指定某种类型的数据包的优先级，以对某些数据包优先处理起到了限制网络流量，减少网络拥塞
的作用
提供对通信流量的控制手段
访问控制列表对本身产生的的数据包不起作用，如一些路由更新消息
路由器对访问控制列表的处理过程：
（1）如果接口上没有ACL，就对这个数据包继续进行常规处理
（2）如果对接口应用了访问控制列表，与该接口相关的一系列访问控制列表语句组合将会检测它：
*若第一条不匹配，则依次往下进行判断，直到有一条语句匹配，则不再继续判断。
路由器将决定该数据包允许通过或拒绝通过
*若最后没有任一语句匹配，则路由器根据默认处理方式丢弃该数据包。
*基于ACL的测试条件，数据包要么被允许，要么被拒绝。
（3）访问控制列表的出与入，
使用命令ipaccess-group，可以把访问控制列表应用到某一个接口上。
in或out指明访问控制列表是对近来的，还是对出去的数据包进行控制
【在接口的一个方向上，只能应用1个access-list】
路由器对进入的数据包先检查入访问控制列表，对允许传输的数据包才查询路由表

而对于外出的数据包先检查路由表，确定目标接口后才检查看出访问控制列表

应该尽量把放问控制列表应用到入站接口，因为它比应用到出站接口的效率更高：
将要丢弃的数据包在路由器惊醒了路由表查询处理之前就拒绝它