网络层访问权限控制技术 ACL详解(二) ACL基本配置

目的地址 目的wildcards [关系] [目的端口]。其中协议可以是IP、TCP、UDP、EIGRP等，[]内为可选字段。仅在协议为tcp/udp等具备端口号的协议才有用。关系可以是eq(等于)、neq（不等于）、lt(大于)、range（范围）等。端口一般为数字的1-65535，对于周知端口，如23(服务名为telnet)等可以用服务名代替。源端口和目的端口不定义时表示所有端口。

把这个ACL应用上去后，用户们开始打电话来骂娘了，因为他们都访问不了Internet了，是哪里出了问题了呢？

注意：所有的ACL，缺省情况下，从安全角度考虑，最后都会隐含一句deny any(标准ACL)或deny ip any any（扩展IP ACL）。所以在不了解业务会使用到哪些端口的情况下，最好在ACL的最后加上一句permit ip any any，在这里就是access-list 101 permit ip any any。

现在用户倒是能够访问Internet了，但我们的可怜的网管却发现普通用户还是能够telnet到他的SWA上面，因为SWA上面有很多个网络接口，而且使用扩展的ACL会消耗很多的资源。有什么简单的办法能够控制用户对网络设备的Telnet访问，而又不消耗太多的资源呢？这就需要使用到：

对网络设备自身的访问如何进行控制的技术

让我们先把刚才配置的ACL都取掉(具体配置略，不然后读者会以为我在骗稿费了。)，再在每台网络设备上均进行如下配置：

access-list 1 permit host 10.1.6.66

line vty 0 4(部分设备是15)

access-class 1 in

这样就行了，telnet都是访问的设备上的line vty，在line vty下面使用access-class与ACL组进行关联，in关键字表示控制进入的连接。

就这么简单？wk，你丫是不是在玩我们，为什么还要绕一大圈？臭鸡蛋和烂西红柿开始在70的脑袋上方狂飞。(5555555，偶也只是想向大家把ACL的基础知识讲的明白一些的嘛)。经过刚才的配置，我们可以理出一个简单的ACL配置步骤了：

u 分析需求，找清楚需求中要保护什么或控制什么；为方便配置，最好能以表格形式列出。在本文的后面会举例的。

u 分析符合条件的数据流的路径，寻找一个最适合进行控制的位置；

u 书写ACL，并将ACL应用到接口上；

u 测试并修改ACL。

当A公司的领导知道在网管能够控制普通用户对网络设备的访问后，我们的可怜的网管就收到了很多看起来很难的要求。领导要求网管：