16.1.1　ACL概述

访问控制列表（Access Control List，ACL）是网络设备配置中一项常用的技术，可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。ACL 是由permit或deny语句组成的一系列有顺序规则的集合，通过匹配报文的信息实现对报文的分类。网络设备根据ACL定义的规则判断哪些报文可以接收，哪些报文需要拒绝，从而实现对报文的过滤。

在一个ACL中可以有多条匹配语句，每条语句由匹配项和行为构成，行为即为允许或拒绝。当路由器接收到一个数据包，并需要使用ACL对其进行匹配时，路由器会按照从上到下的顺序，将数据包与ACL中的每条语句逐一对比，匹配成功立刻停止。如果路由器中的数据包与ACL中的语句都不匹配，则默认允许通过。