文档介绍:如果有人说路由交换设备主要就是路由和交换的功能, 仅仅在路由交换数据包时应用的话他一定是个门外汉。如果仅仅为了交换数据包我们使用普通的 HUB 就能胜任, 如果只是使用路由功能我们完全可以选择一台 WINDOWS 服务器来做远程路由访问配置。实际上路由器和交换机还有一个用途, 那就是网络管理, 学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在 CISCO 路由交换设备上的配置方法与命令。什么是 ACL ? 访问控制列表简称为 ACL ,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址, 目的地址, 源端口, 目的端口等, 根据预先定义好的规则对包进行过滤, 从而达到访问控制的目的。该技术初期仅在路由器上支持, 近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供 ACL 的支持了。访问控制列表使用原则由于 ACL 涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部 ACL 的配置。在介绍例子前为大家将 ACL 设置原则罗列出来, 方便各位读者更好的消化 ACL 知识。 1 、最小特权原则只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集, 只满足部分条件的是不容许通过规则的。 2 、最靠近受控对象原则所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在 ACL 中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的 ACL 语句。 3 、默认丢弃原则在 CISCO 路由交换设备中默认最后一句为 ACL 中加入了 DENY ANY ANY , 也就是丢弃所有不符合条件的数据包。这一点要特别注意, 虽然我们可以修改这个默认, 但未改前一定要引起重视。由于 ACL 是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息, 这种技术具有一些固有的局限性, 如无法识别到具体的人, 无法识别到应用内部的权限级别等。因此, 要达到端到端的权限控制目的, 需要和系统级及应用级的访问权限控制结合使用。标准访问列表: 访问控制列表 ACL 分很多种, 不同场合应用不同种类的 ACL 。其中最简单的就是标准访问控制列表, 标准访问控制列表是通过使用 IP 包中的源 IP 地址进行过滤, 使用的访问控制列表号 1到 99 来创建相应的 ACL 标准访问控制列表的格式访问控制列表 ACL 分很多种, 不同场合应用不同种类的 ACL 。其中最简单的就是标准访问控制列表,他是通过使用 IP 包中的源 IP 地址进行过滤,使用的访问控制列表号 1到 99来创建相应的 ACL 。标准访问控制列表是最简单的 ACL 。它的具体格式如下: access-list ACL 号 permit|deny host ip 地址例如: access-list 10 deny host 这句命令是将所有来自 地址的数据包丢弃。当然我们也可以用网段来表示,对某个网段进行过滤。命令如下: access-list 10 deny 通过上面的配置将来自 的所有计算机数据包进行过滤丢弃。为什么后头