访问控制列表(ACL)使用包过滤技术，戴尔深圳经销商在路由器上读取第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。过滤是对数据包内容进行分析以决定是允许还是阻止该数据包的过程。

    ACL可以应用在人向或者出向接口，对于人向数据流，路由器先检查应用在接口的人向ACL，按照自上而下的顺序匹配ACL，如果匹配到deny，则丢弃数据包返回ICMP不可达消息(ACI。结尾隐含denyany)；如果匹配permit，则查找路由表并且进而判断目的地址是否可路由，如果不可以，则返回ICMP不可达消息；如果可以，则将数据转发到出接口。到出接口后看是否有出向ACL，同样的，按照ACL的检查流程，根据具体情况判断是转发数据还是丢弃数据。

     本书只讨论CISCO公司两种类型的ACI。：标准ACL和扩展ACL。

(1)标准ACL。标准ACL通过使用IP包中的源IP地址进行过滤，表号范围是1～99或1300—1999。

(2)扩展ACI。。扩展ACL可以针对协议类型、源地址、目的地址、源端口、目的端口、TCP连接建立等进行过滤，表号范围100～199或2000～2699。

ACL工作方式包括以下几个原则。

(1)自上而下顺序处理。ACL表项的检查从第一个表项开始，按照自上而下的顺序进

行，一旦匹配某一条件，就停止检查后续的表项。ACI。表项的最后一项是隐含的deny any

any，意味着如果数据包与所有行都不配的话，将被丢弃。

(2)尾部添加新表项。新的表项在不指定序号的情况下，默认被添加到ACL的末尾。

(3)ACI。放置原则。标准ACL尽量靠近目的端口，戴尔服务器深圳因为其只使用源地址，如果将其靠近源会阻止数据包流向其他端口。扩展ACI。尽量放置在靠近源端口的位置上，尽早拒绝数据包，避免浪费网络带宽。

(4)过滤。路由器不对自身产生的IP数据包进行过滤。