网络中常说的ACL（Access Control List 访问控制表。用户和设备可以访问的那些现有服务和信息的列表。用户必须具有相应的授权才能修改目标的ACL。通常要求用户提供注册姓名和口令，它是用来保证系统安全性的一种手段。）是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。

一、ACL概要

A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网，并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1，10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部（VLAN4）、市场部(VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。每个网段的三层设备（也就是客户机上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管，搞得他头都大了。那有什么办法能够解决这些问题呢？更多内容》

二、ACL基本配置

“说那么多废话做什么，赶快开始进行配置吧。”，A公司的网管说。呵呵，并不是我想说那么多废话，因为理解这些基础的概念与简单的原理对后续的配置和排错都是相当有用的。说说看，你的第一个需求是什么。

“做为一个网管，我不期望普通用户能telnet到网络设备”――ACL基础

当A公司的领导知道在网管能够控制普通用户对网络设备的访问后，我们的可怜的网管就收到了很多看起来很难的要求。更多内容》

三、ACL执行顺序

领导要求网管：“使用ACL技术对网络访问进行精细化控制”――ACL进阶配置

由于最近服务器网段的机器老是被人用telnet、rsh等手段进行攻击，我们只对员工开放web服务器(10.1.2.20)所提供的http、FTP服务器(10.1.2.22)提供的FTP服务和数据库服务器(10.1.2.21：1521)。好吧，我们着手进行配置，可是我们的ACL刚写到一半，发现前面写的几句好像有问题，一个no命令输进去，整个ACL都没了，唉，一切都得重来，难道就没有一个变通的办法么？更多内容》

四、基于时间的ACL

在保证了服务器的数据安全性后，领导又准备对内部员工上网进行控制。要求在上班时间内(9:00-18:00)禁止内部员工浏览internet，禁止使用QQ、MSN。而且在2003年6月1号到2号的所有时间内都不允许进行上述操作。但在任何时间都可以允许以其它方式访问Internet。天哪，这可叫人怎么活呀，但领导既然这样安排，也只好按指示做了。更多内容》

五、单向访问控制

A公司准备实行薪资的不透明化管理，由于目前的薪资收入数据还放在财务部门的Vlan中，所以公司不希望市场和研发部门能访问到财务部Vlan中的数据，另一方面，财务部门做为公司的核心管理部门，又希望能访问到市场和研发部门Vlan内的数据。

“站住！”，70正想开溜，只听那网管一声大吼，“有什么办法能知道ACL都过滤了从哪儿来，到哪儿去的流量？？”。呵呵，刚才忘记说了，你只需要在需要记录的acl条目的最后加一个log关键字，这样在有符合该ACL条目数据包时，就会产生一条日志信息发到你的设备所定义的日志服务器上去。谢谢大家的捧场，本文到此为止。更多内容》

(责任编辑：赵纪雷)