了解思科訪問控制列表其他方法

申請免費試用、咨詢電話：400-8352-114

網(wǎng)絡(luò)管理員常使用訪問控制列表（ACL）來禁止數(shù)據(jù)傳輸或僅允許指定的數(shù)據(jù)傳輸。然而這僅僅是訪問控制列表的基本使用方法，其實還有 一些許多管理員并不經(jīng)常使用的方法。

作為網(wǎng)絡(luò)管理員，必須熟悉訪問控制列表。一般來說，管理員使用ACL來禁止數(shù)據(jù)傳輸或僅允許指定的數(shù)據(jù)傳輸。（有人將ACL比做防火墻，其 實它僅僅具備防火墻的基本模式。從技術(shù)上來說，它是包過濾器。）

基本的ACL用法是流量管理，但ACL還有其它很多不常為眾人所知的方法。這里讓我們來看看ACL的各種用法。

流量控制
當(dāng)然，正如上面提到的用法，可以使用ACL來控制流量。需要記住的是"one-per"規(guī)則。即每種協(xié)議，每個數(shù)據(jù)傳輸方向，每個接口只對應(yīng)一個 ACL。

因此，每個接口對應(yīng)一種協(xié)議的一個方向的數(shù)據(jù)傳輸只能有一個ACL。讓我們來看看一個常見的ACL的例子。下面的ACL禁止了某種數(shù)據(jù)傳輸，但允許其他的IP數(shù)據(jù)傳輸。

Router(config)# access-list 100 deny ip host 1.1.1.1 host 2.2.2.2 eq 80
Router(config)# access-list 100 permit ip any any
Router(config)# interface s0/0
Router(config-if)# ip access-group 100 in

該ACL禁止了ICMP數(shù)據(jù)。在配置中并沒有提到ICMP，那么它是如何拒絕ICMP數(shù)據(jù)的呢？實際上，在ACL中，如果沒有指明允許某種數(shù)據(jù)傳輸，ACL 將以默認(rèn)方式拒絕該類數(shù)據(jù)的傳輸。

因此，如果希望ICMP數(shù)據(jù)（如，使用PING命令）也能通過該鏈路，你還需添加以下命令：

Router(config)# access-list 100 permit icmp any any

使用ACL時，一個非常有用的選項是關(guān)鍵字log。如果希望將通過該鏈路的所有數(shù)據(jù)都記錄在日志文件中，可以這樣使用：

Router(config)# access-list 101 permit ip any any log

這樣，路由器將通過該鏈路的所有IP數(shù)據(jù)包都記錄在日志文件中。

使用TCP會話信息的流量控制
使用自反訪問列表，能更透徹的理解TCP會話和進(jìn)行會話過濾。因此，能夠允許數(shù)據(jù)傳輸返回原請求主機(jī)。