实战秘籍:我和ACL的三次亲密接触(上)

　　上篇：

　　第一阶段：路由上用ACL来做NAT

　　第二阶段：ACL也能防范冲击波和振荡波病毒?

　　下篇：

　　第三阶段：ACL限制非法用户接入：替代专业工具

　　一、制作最简单的一个ACL

　　二、两手都要抓的ACL

　　三、允许、限制、再允许

　　四、扩展的ACL

　　五、以名字命名的ACL

　　六、分时间段实行限制

　　祥子接触网络设备已经有很多年了，要在网络中实现保护资源节点，防止非法用户对资源节点的访问及限制特定用户所能具备的访问权限，就必须要用到ACL(Access Control List访问控制列表)，前期的时侯只在高端路由器上支持、后来三层交换机和一些CISCO 29系列的交换机也支持ACL了，祥子对于ACL的认识也是一个由浅入深的过程，想想大概进行了三个阶段，说的感性一点就是与ACL的三次亲密接触。

　　第一阶段：

　　路由上用ACL来做NAT

　　前期的ACL只有高端的路由器才支持，祥子第一次接触路由器，是一台CISCO25系列的路由器上，型号我已记不起来了。这是一台管理拨号上网用户的路由器，下面通过串口线连接到一个MODEM池上，上面通地一个RJ45口连接到一台代理服务器(WINNT+PROXY2.0)，这台路由器上为每个拨号上网用户分配了一个用户名和密码，祥子就负责不断的开用户和删除用户。

　　后来机房的设备升级了，连接互联网出口是一台CISCO7507路由器，下面连接了一台CISCO2924的交换机，当时上网的NAT(网络地址转换)是在7507路由器上做的，就是写了一个ACL，凡是允许上网的机器IP地址就写在里面，祥子当时的权力好大哟，谁想上网，都要通过祥子把自己机器的IP地址添加在这个ACL里，当然祥子也会不断的接到领导的指示，开通或关断一个IP(或几个IP)，进行开通操作时相当简单一点，但是要停掉一个IP就复杂了，要先把整个ACL的内容复制下来，粘贴到记事本中，去掉某一行，再复制，然后到路由器中先no掉这个ACL，再把新的ACL粘贴回去，整个过程可以用提心吊胆来形容，生怕这个过程中网络出现什么故障，造成ACL列表中的内容不完整，从而导致用户的上网故障，祥子可就吃不了兜着走了。

　　祥子对于ACL的认识就是从开通或关掉上网用户的IP地址开始的，当时只是一个操作者，在别人建立的ACL中进入一些基本的操作，对ACL的认识很浅。

　　第二阶段：

　　ACL也能防范冲击波和振荡波病毒?

　　记得应该是03年吧，当时网络中冲击波、震荡波横行，祥子单位的网络当然也不能幸免，好在，从网上找了一个防范的访问控制列表，将其应用到路由器的两个端口上(in和out两个方向)，这下子网络里面就安静多了。

　　access-list 115 deny udp any any eq 135

　　access-list 115 deny udp any any eq netbios-ns

　　access-list 115 deny udp any any eq netbios-dgm

　　access-list 115 deny tcp any any eq 139

　　access-list 115 deny udp any any eq netbios-ss

　　access-list 115 deny tcp any any eq 445

　　access-list 115 deny tcp any any eq 593

　　access-list 115 deny tcp any any eq 4444

　　access-list 115 permit ip any any

　　相信很多网管员看到这样的ACL都会有一种很熟悉的感觉。这是祥子对于ACL的第二次接触，这次让祥子体会到ACL的强大，利用ACL，不仅可以实现控制某台主机的上网，还可以具体的对TCP、UDP的某些端口做限制，真是太神奇了，当时祥子考取了CCNA证书，所以对于理解和使用这个ACL没有什么问题，但是还没有能力自己写ACL来解决网络中的问题。

　　以后祥子单位所在网络又进行较大规模的升级，用户上网是通过DRCOM宽带计费系统来实现的，NAT功能放到了一台CISCO PIX520防火墙上，不再通过CISCO路由器的ACL了，这样不论是在稳定性还是在转换效率上都比以前提高了不少，而且还可以满足记录用户60上网记录的要求，祥子在ACL上用的精力就少了，在技术上反而是VLAN和路由的应用多了进来。