了解思科訪問(wèn)控制列表其他方法

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

網(wǎng)絡(luò)管理員常使用訪問(wèn)控制列表（ACL）來(lái)禁止數(shù)據(jù)傳輸或僅允許指定的數(shù)據(jù)傳輸。然而這僅僅是訪問(wèn)控制列表的基本使用方法，其實(shí)還有 一些許多管理員并不經(jīng)常使用的方法。

作為網(wǎng)絡(luò)管理員，必須熟悉訪問(wèn)控制列表。一般來(lái)說(shuō)，管理員使用ACL來(lái)禁止數(shù)據(jù)傳輸或僅允許指定的數(shù)據(jù)傳輸。（有人將ACL比做防火墻，其 實(shí)它僅僅具備防火墻的基本模式。從技術(shù)上來(lái)說(shuō)，它是包過(guò)濾器。）

基本的ACL用法是流量管理，但ACL還有其它很多不常為眾人所知的方法。這里讓我們來(lái)看看ACL的各種用法。

流量控制
當(dāng)然，正如上面提到的用法，可以使用ACL來(lái)控制流量。需要記住的是"one-per"規(guī)則。即每種協(xié)議，每個(gè)數(shù)據(jù)傳輸方向，每個(gè)接口只對(duì)應(yīng)一個(gè) ACL。

因此，每個(gè)接口對(duì)應(yīng)一種協(xié)議的一個(gè)方向的數(shù)據(jù)傳輸只能有一個(gè)ACL。讓我們來(lái)看看一個(gè)常見(jiàn)的ACL的例子。下面的ACL禁止了某種數(shù)據(jù)傳輸，但允許其他的IP數(shù)據(jù)傳輸。

Router(config)# access-list 100 deny ip host 1.1.1.1 host 2.2.2.2 eq 80
Router(config)# access-list 100 permit ip any any
Router(config)# interface s0/0
Router(config-if)# ip access-group 100 in

該ACL禁止了ICMP數(shù)據(jù)。在配置中并沒(méi)有提到ICMP，那么它是如何拒絕ICMP數(shù)據(jù)的呢？實(shí)際上，在ACL中，如果沒(méi)有指明允許某種數(shù)據(jù)傳輸，ACL 將以默認(rèn)方式拒絕該類數(shù)據(jù)的傳輸。

因此，如果希望ICMP數(shù)據(jù)（如，使用PING命令）也能通過(guò)該鏈路，你還需添加以下命令：

Router(config)# access-list 100 permit icmp any any

使用ACL時(shí)，一個(gè)非常有用的選項(xiàng)是關(guān)鍵字log。如果希望將通過(guò)該鏈路的所有數(shù)據(jù)都記錄在日志文件中，可以這樣使用：

Router(config)# access-list 101 permit ip any any log

這樣，路由器將通過(guò)該鏈路的所有IP數(shù)據(jù)包都記錄在日志文件中。

使用TCP會(huì)話信息的流量控制
使用自反訪問(wèn)列表，能更透徹的理解TCP會(huì)話和進(jìn)行會(huì)話過(guò)濾。因此，能夠允許數(shù)據(jù)傳輸返回原請(qǐng)求主機(jī)。