第三阶段：ACL限制非法用户接入：替代专业工具

　　但是最近一段时间以来，祥子打算再好好的用一下ACL，为什么呢？因为祥子在单位中同时管理可以接入互联网的办公室（简称外网）和一个开展数字电视业务的业务网（简称内网），内网不同于外网，既要保持稳定性，还要防止网络的随意扩展，使网络始终处于可控和可管的状态，具体的说有两点，第一，限制交换机端口上允许通过的主机数量，只允许登记在册的主机通过，因为随意的主机接入会造成网络中病毒感染、数据损坏等种种不良后果，IP地址冲突还会造成服务器无法正常工作;第二，我们内网中有一台网络版杀毒软件的服务器，按照规定要求内网中每一台微机都要安装杀毒软件，所有没有安装杀毒软件的微机均不可接入内网，在杀毒软件服务器上我们可以看到每一台安装安装了客户端的软件的 IP地址，那么没有安装的微机就不能接入内网，这也要在交换机上通过ACL来实现。

　　这本来没有什么难度，但是祥子想借这个机会来好好学习一下在CISCO交换机上实现ACL的方法，下面是具体的学习，秉承着把别人教会是最好的学习方法的态度，祥子模拟了一个从易到难的学习过程，在外网的一台CISCO3550交换机上做了很多的实验，总算把ACL的应用大概摸清楚了。

　　一、制作最简单的一个

　　先看一下我们实际的网络拓扑吧，如图1所示

　　这就是我们本次的实验环境，由于是在一台外网的CISCO3550交换机上，所以PC1和PC2默认都是可以访问互联网，它们之间也是可以互相通讯的，PC1是接在交换机的第22端口上，PC2是接在交换机的第3端口上，本例要实现的功能是允许PC1以10.66.5.246这个地址上网，但是更换其它的IP地址都不可以上网，可以这样写访问控制列表：

3550(config)#access-list 6 permit 10.66.5.246 　　3550(config)#exit 　　3550#show access-lists 　　Standard IP access list 6 　　permit 10.66.5.246 　　3550#conf t 　　Enter configuration commands, one per line.  End with CNTL/Z. 　　3550(config)#inter fa0/22 　　3550(config-if)#ip access-group 6 in

　　将访问控制列表6应用到端口22以后，这个端口就可允许IP地址为10.66.5.246主机通过了，如果将PC1的IP地址改为 10.66.6.246就肯定上不去网了，当这个实验做成了以后，祥子感觉到思路一下子被打通了，在数字电视内网中实现对相应主机的控制不就跟祥子以前在 CISCO7507路由器上设置ACL实现哪些机器可以上网的方法一样吗？学东西什么叫通了，祥子的体会是在学习到的新知识和以前掌握的旧知识中能够建立起一个通道了，那就叫通了，现在方法已经找到，实现需求不是问题，那就趁热打铁把ACL再系统的学习一下吧。

　　二、两手都要抓的ACL

　　上例中我们写的ACL只是限制一个端口下连的网络中只有指定IP地址的主机可以上网，其实ACL还可以管的更宽，比如可以做到指定的主机只能与指定的目标网段的主机进行通讯，这需要用一个扩展的ACL 来实现，写扩展的ACL祥子发现了一个规律，或者说是一个着眼点，那就是如何判断源地址和目标地址，其实祥子以前一直对这个事情很茫然，愚者千虑，并有一得，困惑了这么久，现在发现换个角度看这个问题就清楚了，那就是站在将要应用ACL的交换机的端口的角度上看源和目标，端口下面连接的网络（或主机）为源，对外的访问就是目标了，本例中这样写：

3550(config)#access-list 106 permit ip any 192.168.1.0 0.0.0.255 　　3550(config)#end 　　3550#show access-lists 　　Extended IP access list 106 　　permit ip any 192.168.1.0 0.0.0.255 　　3550#conf t 　　Enter configuration commands, one per line.  End with CNTL/Z. 　　3550(config)#inter fa0/22 　　3550(config-if)#ip access-group 106 in

　　将ACL106应用到端口22以后，PC1（22端口下所连的所有微机，因为我使用了一个“any”来代表所有的微机）就只能与位于端口3的PC2所在的网段（192.168.1/24）进行通讯了，我们也就通过扩展的ACL对于主机与外部网络的通讯作了更细化的限制。