了解思科访问控制列表其他方法

申请免费试用、咨询电话：400-8352-114

网络管理员常使用访问控制列表（ACL）来禁止数据传输或仅允许指定的数据传输。然而这仅仅是访问控制列表的基本使用方法，其实还有 一些许多管理员并不经常使用的方法。

作为网络管理员，必须熟悉访问控制列表。一般来说，管理员使用ACL来禁止数据传输或仅允许指定的数据传输。（有人将ACL比做防火墙，其 实它仅仅具备防火墙的基本模式。从技术上来说，它是包过滤器。）

基本的ACL用法是流量管理，但ACL还有其它很多不常为众人所知的方法。这里让我们来看看ACL的各种用法。

流量控制
当然，正如上面提到的用法，可以使用ACL来控制流量。需要记住的是"one-per"规则。即每种协议，每个数据传输方向，每个接口只对应一个 ACL。

因此，每个接口对应一种协议的一个方向的数据传输只能有一个ACL。让我们来看看一个常见的ACL的例子。下面的ACL禁止了某种数据传输，但允许其他的IP数据传输。

Router(config)# access-list 100 deny ip host 1.1.1.1 host 2.2.2.2 eq 80
Router(config)# access-list 100 permit ip any any
Router(config)# interface s0/0
Router(config-if)# ip access-group 100 in

该ACL禁止了ICMP数据。在配置中并没有提到ICMP，那么它是如何拒绝ICMP数据的呢？实际上，在ACL中，如果没有指明允许某种数据传输，ACL 将以默认方式拒绝该类数据的传输。

因此，如果希望ICMP数据（如，使用PING命令）也能通过该链路，你还需添加以下命令：

Router(config)# access-list 100 permit icmp any any

使用ACL时，一个非常有用的选项是关键字log。如果希望将通过该链路的所有数据都记录在日志文件中，可以这样使用：

Router(config)# access-list 101 permit ip any any log

这样，路由器将通过该链路的所有IP数据包都记录在日志文件中。

使用TCP会话信息的流量控制
使用自反访问列表，能更透彻的理解TCP会话和进行会话过滤。因此，能够允许数据传输返回原请求主机。