编者按：ACL网络访问控制是基本的网络命令，但如果深入应用，则可防止冲击波和振荡波等病毒，还能进行用户上网行为的管理，可谓是网管的致命武器。祥子对ACL由浅入深的应用感受，对大家极具参考价值。

　　上篇：
　　第一阶段：路由上用ACL来做NAT
　　第二阶段：ACL也能防范冲击波和振荡波病毒？

　　下篇：
　　第三阶段：ACL限制非法用户接入：替代专业工具
　　一、制作最简单的一个ACL
　　二、两手都要抓的ACL
　　三、允许、限制、再允许
　　四、扩展的ACL
　　五、以名字命名的ACL
　　六、分时间段实行限制

　　【IT168 专稿】祥子接触网络设备已经有很多年了，要在网络中实现保护资源节点，防止非法用户对资源节点的访问及限制特定用户所能具备的访问权限，就必须要用到ACL（Access Control List访问控制列表），前期的时侯只在高端路由器上支持、后来三层交换机和一些CISCO 29系列的交换机也支持ACL了，祥子对于ACL的认识也是一个由浅入深的过程，想想大概进行了三个阶段，说的感性一点就是与ACL的三次亲密接触。

　　第一阶段：
　　路由上用ACL来做NAT

　　前期的ACL只有高端的路由器才支持，祥子第一次接触路由器，是一台CISCO25系列的路由器上，型号我已记不起来了。这是一台管理拨号上网用户的路由器，下面通过串口线连接到一个MODEM池上，上面通地一个RJ45口连接到一台代理服务器（WINNT＋PROXY2.0），这台路由器上为每个拨号上网用户分配了一个用户名和密码，祥子就负责不断的开用户和删除用户。

　　后来机房的设备升级了，连接互联网出口是一台CISCO7507路由器，下面连接了一台CISCO2924的交换机，当时上网的NAT（网络地址转换）是在7507路由器上做的，就是写了一个ACL，凡是允许上网的机器IP地址就写在里面，祥子当时的权力好大哟，谁想上网，都要通过祥子把自己机器的IP地址添加在这个ACL里，当然祥子也会不断的接到领导的指示，开通或关断一个IP（或几个IP），进行开通操作时相当简单一点，但是要停掉一个IP就复杂了，要先把整个ACL的内容复制下来，粘贴到记事本中，去掉某一行，再复制，然后到路由器中先no掉这个ACL，再把新的ACL粘贴回去，整个过程可以用提心吊胆来形容，生怕这个过程中网络出现什么故障，造成ACL列表中的内容不完整，从而导致用户的上网故障，祥子可就吃不了兜着走了。

　　祥子对于ACL的认识就是从开通或关掉上网用户的IP地址开始的，当时只是一个操作者，在别人建立的ACL中进入一些基本的操作，对ACL的认识很浅。