ACL 是一系列 IOS 命令，根據數據包報頭中找到的信息來控制路由器應該轉發還是應該丟棄數據包。ACL 是思科 IOS 軟件中最常用的功能之一。
在配置後，ACL 將執行以下任務：

• 限制網絡流量以提高網絡性能。例如，如果公司政策不允許在網絡中傳輸視頻流量，那麽就應該配置和應用 ACL 以阻止視頻流量。這可以顯著降低網絡負載並提高網絡性能。

• 提供流量控制。ACL 可以限制路由更新的傳輸，從而確保更新都來自一個已知的來源。

• 提供基本的網絡訪問安全性。ACL 可以允許一臺主機訪問部分網絡，同時阻止其他主機訪問同一區域。例如，“人力資源”網絡僅限授權用戶進行訪問。

• 根據流量類型過濾流量。例如，ACL 可以允許郵件流量，但阻止所有 Telnet 流量。

• 屏蔽主機以允許或拒絕對網絡服務的訪問。ACL 可以允許或拒絕用戶訪問特定文件類型，例如 FTP 或 HTTP。

默認情況下，路由器並未配置 ACL；因此，路由器不會默認過濾流量。進入路由器的流量僅根據路由表內的信息進行路由。但是，當 ACL 應用於接口時，路由器會在網絡數據包通過接口時執行另一項評估所有網絡數據包的任務，以確定是否可以轉發數據包。

除了允許或拒絕流量外，ACL 還可用於選擇需要以其他方式進行分析、轉發或處理的流量類型。例如，ACL 可用於對流量進行分類，以實現按優先級處理流量的功能。此功能與音樂會或體育賽事中的 VIP 通行證類似。VIP 通行證使選定的客人享有未向普通入場券持有人提供的特權，例如優先進入或能夠進入專用區。

How

ACL 定義了一組規則，用於對進入入站接口的數據包、通過路由器中繼的數據包，以及從路由器出站接口輸出的數據包施加額外的控制。ACL 對路由器自身產生的數據包不起作用。

如圖所示，ACL 可配置為應用於入站流量和出站流量。

入站 ACL - 傳入數據包經過處理之後才會被路由到出站接口。因為如果數據包被丟棄，就節省了執行路由查找的開銷，所以入站 ACL 非常高效。如果 ACL 允許該數據包，則會處理該數據包以進行路由。當與入站接口連接的網絡是需要檢測的數據包的唯一來源時，最適合使用入站 ACL 來過濾數據包。

出站 ACL - 傳入數據包路由到出站接口後，由出站 ACL 進行處理。在來自多個入站接口的數據包通過同一出站接口之前，對數據包應用相同過濾器時，最適合使用出站 ACL。

• 查看路由器ACL

show access-lists

• 刪除

a. 在串行 l0/0/0 接口下，刪除以前作為出站過濾器應用到接口的訪問列表 11：

R1(config)# int se0/0/0

R1(config-if)#no ip access-group 11 out

b. 在全局配置模式下，輸入下列命令可刪除 ACL：

R1(config)# no access-list 11