ACL的定義也是基于每一種協議的。如果路由器接口配置成為支持三種協議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來分別控制這三種協議的數據包。

ACL的作用

ACL可以限制網絡流量、提高網絡性能。例如，ACL可以根據數據包的協議，指定數據包的優先級。

ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量。

ACL是提供網絡安全訪問的基本手段。如圖1所示，ACL允許主機A訪問人力資源網絡，而拒絕主機B訪問。

ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。

ACL的執行過程

一個端口執行哪條ACL，這需要按照列表中的條件語句執行順序來判斷。如果一個數據包的報頭跟表中某個條件判斷語句相匹配，那么后面的語句就將被忽略，不再進行檢查。數據包只有在跟第一個判斷條件不匹配時，它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配（假設為允許發送），則不管是第一條還是最后一條語句，數據都會立即發送到目的接口。如果所有的ACL判斷語句都檢測完畢，仍沒有匹配的語句出口，則該數據包將視為被拒絕而被丟棄。

這里要注意，ACL不能對本路由器產生的數據包進行控制。

ACL的分類

目前有兩種主要的ACL:標準ACL和擴展ACL。

這兩種ACL的區別是，標準ACL只檢查數據包的源地址; 擴展ACL既檢查數據包的源地址，也檢查數據包的目的地址，同時還可以檢查數據包的特定協議類型、端口號等。

網絡管理員可以使用標準ACL阻止來自某一網絡的所有通信流量，或者允許來自某一特定網絡的所有通信流量，或者拒絕某一協議簇（比如IP）的所有通信流量。

擴展ACL比標準ACL提供了更廣泛的控制范圍。例如，網絡管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他可以使用擴展ACL來達到目的，標準ACL不能控制這么精確。