任何企業網絡系統在為創造價值的同時，對安全性也有很高的要求。ACL（網絡層訪問控制列表）其實可以幫助企業實現網絡安全策略，可以說ACL是一個很不錯的解決工具或方案。

那什么是ACL呢？為了幫助企業網絡運維人員深入理解ACL，可以根據以下幾點看透ACL本質。

一、從名稱解析ACL

ACL：Acess Control List，即訪問控制列表。這張表中包含了匹配關系、條件和查詢語句，表只是一個框架結構，其目的是為了對某種訪問進行控制。

信息點間通信，內外網絡的通信都是企業網絡中必不可少的業務需求，但是為了保證內網的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網絡中的流量，控制訪問的一種網絡技術手段。

二、看透ACL的本質

通常，很多企業都在使用NAT技術進行地址轉換，而NAT技術中就包含了ACL的應用。通過ACL，我們可以控制哪些私有地址能上外網（公網），哪些不能。然后把這些過濾好的數據，進行NAT轉換。另外，企業也需要對服務器的資源訪問進行控制，通過ACL過濾出哪些用戶不能訪問，哪些用戶能訪問。

從實際應用中，我們看到ACL能夠區分不同的數據流。這也意味著ACL的本質其實是一種流量分類技術，它是人為定義的一組或幾組規則，目的是通過網絡設備對數據流分類，以便執行用戶規定的動作。換句話說，ACL本身不能直接達到訪問控制的目的，它間接輔助特定的用戶策略，達到人們所需效果的一種技術手段。在筆者看來，ACL是一種輔助型的技術或者說是工具。

三、玩轉基本的ACL

拓撲描述：某企業有100個信息點，分屬五個部門。用一臺二層交換機和一臺路由器作為網絡層設備；局域網內部有一臺OA服務器。

組網需求：五個部門分屬5個VLAN，VLAN間不能互通。要求所有終端都可以上公網，并訪問OA服務器。

也就是說，有兩個需求：

1、5個部門的終端不能互相通訊

2、5個部門都要求能夠訪問OA SERVER和公網。

根據這兩種實際需求，怎么用ACL實現呢？

以Cisco路由器為例，在全局模式下進行如下配置：

access-list 100 permit ip any host OA的ip
access-list 100 deny ip any ip網絡號 通配符
access-list 100 permit ip any any
然后在相應的子接口下綁定:
ip access-group 100 in

命令解釋：第一條就是允許OA服務器上的數據進入，第二條就是拒絕其它四個部門的數據流進入，第三條是允許所有流量進入，然后最后在相應接口綁定并啟用放通或丟棄的操作。

我們配置ACL都有幾個配置原則，細化優先原則和最長匹配原則，不同的配置順序影響不同的執行效果。通常都是按一個匯總的原則進行規劃IP地址，所以第二條后面的IP網絡號代表的是其它VLAN的子網匯總網絡號。一般來說，思科的ACL最后都默認隱藏了一條deny 所有的語句，所以必須人為添加一條permit語句。

在邊界路由器上配置上述的命令，就能滿足需求了，當然還需要和其他配置命令相結合使用，比如劃分VLAN，配置路由協議等。但無論是怎樣的需求，只要記住ACL的核心，它是一種流量分類技術，可以用特定的方式標記和分類網絡中的流量，配合其它操作策略一起完成某項任務。只要明白這點，我們就能夠玩好基本的ACL了。