技術從來都是一把雙刃劍，網絡應用與互聯網的普及在大幅提高企業的生產經營效率的同時，也帶來了諸如數據的安全性，員工利用互聯網做與工作不相干事等負面影響。如何將一個網絡有效的管理起來，盡可能的降低網絡所帶來的負面影響就成了擺在網絡管理員面前的一個重要課題。

A公司網管的難題

A公司的某位可憐的網管目前就面臨了一堆這樣的問題。A公司建設了一個企業網，并通過一臺路由器接入到互聯網。在網絡核心使用一臺基于IOS的多層交換機，所有的二層交換機也為可管理的基于IOS的交換機，在公司內部使用了VLAN技術，按照功能的不同分為了6個VLAN。分別是網絡設備與網管(VLAN1，10.1.1.0/24)、內部服務器(VLAN2)、Internet連接(VLAN3)、財務部（VLAN4）、市場部(VLAN5)、研發部門（VLAN6），出口路由器上Fa0/0接公司內部網，通過s0/0連接到Internet。每個網段的三層設備（也就是客戶機上的缺省網關）地址都從高位向下分配，所有的其它節點地址均從低位向上分配。該網絡的拓樸如下圖所示：

自從網絡建成后麻煩就一直沒斷過，一會兒有人試圖登錄網絡設備要搗亂；一會兒領導又在抱怨說互聯網開通后，員工成天就知道泡網；一會兒財務的人又說研發部門的員工看了不該看的數據。這些抱怨都找這位可憐的網管，搞得他頭都大了。那有什么辦法能夠解決這些問題呢？答案就是使用網絡層的訪問限制控制技術――訪問控制列表（下文簡稱ACL）。

那么，什么是ACL呢？ACL是種什么樣的技術，它能做什么，又存在一些什么樣的局限性呢？