第11章　访问控制列表

对网络进行管理时，经常遇到需要对流经网络设备的数据包进行过滤、控制的情况。访问控制列表（Access Control Lists，ACL）是最常用的一种方法。在路由器或者三层交换机上都可以配置ACL，它提供强大的数据流过滤功能，通过定义一些规则对网络设备接口上进入或者转发出的数据报文进行匹配，从而判断允许（permit）数据包通过或丢弃（deny）数据包。

访问控制列表（ACL）是由一条条的表项组成的，可以称之为接入控制列表表项（Access Control Entry，ACE），这些表项有严格的顺序，数据包将会从第1条开始测试是否匹配，如果匹配不上则依次往后测试匹配，即测试是否匹配第2条。如果某一条匹配上，那么后面的语句就将被忽略，不再进行测试，只执行匹配上的ACE对应的执行动作（permit或者deny）。

应用ACL属于高危操作，如果配置不当将导致用户断网。因此在配置的时候需要根据需求认真分析并谨慎操作。