ACL（Access Control List）在网络安全中起到了非常重要的作用，它可以帮助管理员限制用户的访问权限和网络资源的使用，从而保护网络的安全性。

在本文中，我们将探讨如何使用ACL来控制用户访问外网的情况。

首先，需要明确一点的是，ACL是通过路由器或交换机等设备来实现的。因此，在使用ACL之前，需要确保网络中至少有一台支持ACL功能的设备。

接下来，我们来看看如何规划ACL，以控制用户不访问外网。ACL规划一般包括以下几个方面：

1、确定过滤规则：针对不同的场景，确定需要过滤的协议类型、源地址和目的地址等信息，以确定ACL的规则。

2、确定过滤位置：需要确定ACL的过滤位置，一般是在路由器、交换机等网络设备的边界上。

3、确定过滤方式：可以选择基于名称、基于数字或者基于扩展来实现ACL。

以基于名称的方式为例，下面是一个ACL的配置示例：

在路由器的配置下，首先在配置模式下输入“ip access-list standard deny_any”，然后加入ACL规则，如下所示：

router(config)# ip access-list deny_any

router(config-std-nacl)# deny any

router(config-std-nacl)# permit 192.168.0.0 0.0.255.255

router(config-std-nacl)# exit

其中，deny any表示拒绝所有源IP地址的访问，而permit 192.168.0.0 0.0.255.255表示允许来自内部网段的访问。

接下来，将ACL应用到接口上：

router(config)# interface serial0/0/0

router(config-if)# ip access-group deny_any in

最后，需要重启路由器或者交换机，以使ACL生效。

综上所述，通过ACL，管理员可以轻松地控制用户的访问权限，从而有助于保证网络的安全。当然，ACL需要特别注意规划和配置，否则会出现不希望看到的后果。

代码示例：

ip access-list standard deny_any

deny any

permit 192