文本Tag：内网安全管理编者按：ACL网络访问控制是基本的网络命令，但如果深入应用，则可防止冲击波和振荡波等病毒，还能进行用户上网行为的管理，可谓是网管的致命武器。祥子对ACL由浅入深的应用感受，对大家极具参考价值。

　　上篇：

　　第一阶段：路由上用ACL来做NAT

　　第二阶段：ACL也能防范冲击波和振荡波病毒？

　　下篇：

　　第三阶段：ACL非法用户接入：替代专业工具

　　一、制作最简单的一个ACL

　　二、两手都要抓的ACL

　　三、允许、、再允许

　　192.168.1.249四、扩展的ACL

　　五、以名字命名的ACL

　　六、分时间段实行第三阶段：

　　ACL非法用户接入：替代专业工具

　　第三阶段：ACL非法用户接入：替代专业工具

　　但是最近一段时间以来，祥子打算再好好的用一下ACL，为什么呢？因为祥子在单位中同时管理可以接入互联网的办公室（简称外网）和一个开展数字电视业务的业务网（简称内网），内网不同于外网，既要保持稳定性，还要防止网络的随意扩展，使网络始终处于可控和可管的状态，具体的说有两点，第一，交换机端口上允许通过的主机数量，只允许登记在册的主机通过，因为随意的主机接入会造成网络中病毒感染、数据损坏等种种不良后果，IP地址冲突还会造成服务器无法正常工作;第二，我们内网中有一台网络版杀毒软件的服务器，按照要求内网中每一台微机都要安装杀毒软件，所有没有安装杀毒软件的微机均不可接入内网，在杀毒软件服务器上我们可以看到每一台安装安装了客户端的软件的IP地址，那么没有安装的微机就不能接入内网，这也要在交换机上通过ACL来实现。

　　这本来没有什么难度，但是祥子想借这个机会来好好学习一下在CISCO交换机上实现ACL的方法，下面是具体的学习，秉承着把别人是最好的学习方法的态度，祥子模拟了一个从易到难的学习过程，在外网的一台CISCO3550交换机上做了很多的实验，总算把ACL的应用大概摸清楚了。

　　一、制作最简单的一个ACL

　　先看一下我们实际的网络拓扑吧，如图1所示