本文從ACL的基本概念，使用原則，訪問的時間等方面詳細的講述了配置ACL的操作步驟。

如果有人說路由交換設(shè)備主要就是路由和交換的功能，僅僅在路由交換數(shù)據(jù)包時應(yīng)用的話他一定是個門外漢。

如果僅僅為了交換數(shù)據(jù)包我們使用普通的HUB就能勝任，如果只是使用路由功能我們完全可以選擇一臺WINDOWS服務(wù)器來做遠程路由訪問配置。

實際上路由器和交換機還有一個用途，那就是網(wǎng)絡(luò)管理，學(xué)會通過硬件設(shè)備來方便有效的管理網(wǎng)絡(luò)是每個網(wǎng)絡(luò)管理員必須掌握的技能。今天我們就為大家簡單介紹訪問控制列表在CISCO路由交換設(shè)備上的配置方法與命令。

什么是ACL？

訪問控制列表簡稱為ACL，訪問控制列表使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址，目的地址，源端口，目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。該技術(shù)初期僅在路由器上支持，近些年來已經(jīng)擴展到三層交換機，部分最新的二層交換機也開始提供ACL的支持了。

訪問控制列表使用原則

由于ACL涉及的配置命令很靈活，功能也很強大，所以我們不能只通過一個小小的例子就完全掌握全部ACL的配置。在介紹例子前為大家將ACL設(shè)置原則羅列出來，方便各位讀者更好的消化ACL知識。

標(biāo)準訪問列表：

訪問控制列表ACL分很多種，不同場合應(yīng)用不同種類的ACL。其中最簡單的就是標(biāo)準訪問控制列表，標(biāo)準訪問控制列表是通過使用IP包中的源IP地址進行過濾，使用的訪問控制列表號1到99來創(chuàng)建相應(yīng)的ACL

√  標(biāo)準訪問控制列表的格式

√  標(biāo)準訪問控制列表實例一

√  標(biāo)準訪問控制列表實例二

擴展訪問控制列表：

上面我們提到的標(biāo)準訪問控制列表是基于IP地址進行過濾的，是最簡單的ACL。那么如果我們希望將過濾細到端口怎么辦呢？或者希望對數(shù)據(jù)包的目的地址進行過濾。這時候就需要使用擴展訪問控制列表了。使用擴展IP訪問列表可以有效的容許用戶訪問物理LAN而并不容許他使用某個特定服務(wù)（例如WWW，F(xiàn)TP等）。擴展訪問控制列表使用的ACL號為100到199。

√  擴展訪問控制列表的格式

√  擴展訪問控制列表實例

基于名稱的訪問控制列表

不管是標(biāo)準訪問控制列表還是擴展訪問控制列表都有一個弊端，那就是當(dāng)設(shè)置好ACL的規(guī)則后發(fā)現(xiàn)其中的某條有問題，希望進行修改或刪除的話只能將全部ACL信息都刪除。也就是說修改一條或刪除一條都會影響到整個ACL列表。這一個缺點影響了我們的工作，為我們帶來了繁重的負擔(dān)。不過我們可以用基于名稱的訪問控制列表來解決這個問題。

√  基于名稱的訪問控制列表

反向訪問控制列表：

我們使用訪問控制列表除了合理管理網(wǎng)絡(luò)訪問以外還有一個更重要的方面，那就是防范病毒，我們可以將平時常見病毒傳播使用的端口進行過濾，將使用這些端口的數(shù)據(jù)包丟棄。這樣就可以有效的防范病毒的攻擊。

不過即使再科學(xué)的訪問控制列表規(guī)則也可能會因為未知病毒的傳播而無效，畢竟未知病毒使用的端口是我們無法估計的，而且隨著防范病毒數(shù)量的增多會造成訪問控制列表規(guī)則過多，在一定程度上影響了網(wǎng)絡(luò)訪問的速度。這時我們可以使用反向控制列表來解決以上的問題。

√  反向訪問控制列表的用途及格式

√  反向訪問控制列表配置實例

基于時間的訪問控制列表：

上面我們介紹了標(biāo)準ACL與擴展ACL，實際上我們數(shù)量掌握了這兩種訪問控制列表就可以應(yīng)付大部分過濾網(wǎng)絡(luò)數(shù)據(jù)包的要求了。不過實際工作中總會有人提出這樣或那樣的苛刻要求，這時我們還需要掌握一些關(guān)于ACL的高級技巧?；跁r間的訪問控制列表就屬于高級技巧之一。

√  基于時間的訪問控制列表

√  基于時間的訪問控制列表配置實例

訪問控制列表流量記錄

網(wǎng)絡(luò)管理員就是要能夠合理的管理公司的網(wǎng)絡(luò)，俗話說知己知彼方能百戰(zhàn)百勝，所以有效的記錄ACL流量信息可以第一時間的了解網(wǎng)絡(luò)流量和病毒的傳播方式。下面這篇文章就為大家簡單介紹下如何保存訪問控制列表的流量信息，方法就是在擴展ACL規(guī)則最后加上LOG命令。

√  訪問控制列表流量的記錄
 

【編輯推薦】

1. 思科路由器RIP協(xié)議和IGRP協(xié)議配置
2. 思科路由器ISDN配置
3. 教你如何調(diào)試思科路由器
4. 思科路由器常用配置命令大全
5. 如何解決思科路由器崩潰問題