作用：

1. 抓取信息源，匹配路由，路由策略

2. 抓取数据流，数据过滤→默认允许所有-黑名单，数据选路，策略路由

分类：

1. 基本acl：2000-2999    只能匹配源，适合抓取路由

2. 高级acl：3000-3999    可以匹配五元组，更适合抓数据流

3. 基于接口：1000-1999

4. 基于二层mac地址：4000-4999

5. 自定义：acl  mane  permit-to-VPN

特点：

1. 注：做访问控制时，一个接口的同一个方向，只能调用一个acl，traffic-filter outbound acl 3000

2. 注：一个acl里面可以有多个rule规则，从上往下依次执行，匹配顺序

3. 注：数据包一旦被某rule匹配，就不再继续向下匹配，→先精细后宽泛

4. 注：用来做数据包访问控制时，默认隐含放行所有（华为设备）默认黑名单

允许个别，拒绝所有=白名单→cisco

拒绝个别，允许所有=黑名单→huawei

做数据过滤需要关心数据流方向，与路由传递方向相反

原则：离访问源越近效果越好，影响范围越小