编者按：ACL网络访问控制是基本的网络命令，但如果深入应用，则可防止冲击波和振荡波等病毒，还能进行用户上网行为的管理，可谓是网管的致命武器。祥子对ACL由浅入深的应用感受，对大家极具参考价值。

　　上篇：
　　第一阶段：路由上用ACL来做NAT
　　第二阶段：ACL也能防范冲击波和振荡波病毒？

　　下篇：
　　第三阶段：ACL限制非法用户接入：替代专业工具
　　一、制作最简单的一个ACL
　　二、两手都要抓的ACL
　　三、允许、限制、再允许
　　四、扩展的ACL
　　五、以名字命名的ACL
　　六、分时间段实行限制　　第三阶段：
　　ACL限制非法用户接入：替代专业工具

第三阶段：ACL限制非法用户接入：替代专业工具

　　但是最近一段时间以来，祥子打算再好好的用一下ACL，为什么呢？因为祥子在单位中同时管理可以接入互联网的办公室（简称外网）和一个开展数字电视业务的业务网（简称内网），内网不同于外网，既要保持稳定性，还要防止网络的随意扩展，使网络始终处于可控和可管的状态，具体的说有两点，第一，限制交换机端口上允许通过的主机数量，只允许登记在册的主机通过，因为随意的主机接入会造成网络中病毒感染、数据损坏等种种不良后果，IP地址冲突还会造成服务器无法正常工作;第二，我们内网中有一台网络版杀毒软件的服务器，按照规定要求内网中每一台微机都要安装杀毒软件，所有没有安装杀毒软件的微机均不可接入内网，在杀毒软件服务器上我们可以看到每一台安装安装了客户端的软件的IP地址，那么没有安装的微机就不能接入内网，这也要在交换机上通过ACL来实现。

　　这本来没有什么难度，但是祥子想借这个机会来好好学习一下在CISCO交换机上实现ACL的方法，下面是具体的学习，秉承着把别人教会是最好的学习方法的态度，祥子模拟了一个从易到难的学习过程，在外网的一台CISCO3550交换机上做了很多的实验，总算把ACL的应用大概摸清楚了。

　　一、制作最简单的一个ACL

　　先看一下我们实际的网络拓扑吧，如图1所示

　　这就是我们本次的实验环境，由于是在一台外网的CISCO3550交换机上，所以PC1和PC2默认都是可以访问互联网，它们之间也是可以互相通讯的，PC1是接在交换机的第22端口上，PC2是接在交换机的第3端口上，本例要实现的功能是允许PC1以10.66.5.246这个地址上网，但是更换其它的IP地址都不可以上网，可以这样写访问控制列表：

　　3550(config)#access-list 6 permit 10.66.5.246
　　3550(config)#exit
　　3550#show access-lists
　　Standard IP access list 6
　　permit 10.66.5.246
　　3550#conf t
　　Enter configuration commands, one per line.  End with CNTL/Z.
　　3550(config)#inter fa0/22
　　3550(config-if)#ip access-group 6 in

　　将访问控制列表6应用到端口22以后，这个端口就可允许IP地址为10.66.5.246主机通过了，如果将PC1的IP地址改为10.66.6.246就肯定上不去网了，当这个实验做成了以后，祥子感觉到思路一下子被打通了，在数字电视内网中实现对相应主机的控制不就跟祥子以前在CISCO7507路由器上设置ACL实现哪些机器可以上网的方法一样吗？学东西什么叫通了，祥子的体会是在学习到的新知识和以前掌握的旧知识中能够建立起一个通道了，那就叫通了，现在方法已经找到，实现需求不是问题，那就趁热打铁把ACL再系统的学习一下吧。