【9PC 獨家特稿】任何企業(yè)網(wǎng)絡系統(tǒng)在為創(chuàng)造價值的同時，對安全性也有很高的要求。ACL（網(wǎng)絡層訪問控制列表）其實可以幫助企業(yè)實現(xiàn)網(wǎng)絡安全策略，可以說ACL是一個很不錯的解決工具或方案。

那什么是ACL呢？為了幫助企業(yè)網(wǎng)絡運維人員深入理解ACL，可以根據(jù)以下幾點看透ACL本質(zhì)。

一、從名稱解析ACL

ACL：Acess Control List，即訪問控制列表。這張表中包含了匹配關系、條件和查詢語句，表只是一個框架結構，其目的是為了對某種訪問進行控制。

信息點間通信，內(nèi)外網(wǎng)絡的通信都是企業(yè)網(wǎng)絡中必不可少的業(yè)務需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網(wǎng)絡資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡中的流量，控制訪問的一種網(wǎng)絡技術手段。

二、看透ACL的本質(zhì)

通常，很多企業(yè)都在使用NAT技術進行地址轉(zhuǎn)換，而NAT技術中就包含了ACL的應用。通過ACL，我們可以控制哪些私有地址能上外網(wǎng)（公網(wǎng)），哪些不能。然后把這些過濾好的數(shù)據(jù)，進行NAT轉(zhuǎn)換。另外，企業(yè)也需要對服務器的資源訪問進行控制，通過ACL過濾出哪些用戶不能訪問，哪些用戶能訪問。

從實際應用中，我們看到ACL能夠區(qū)分不同的數(shù)據(jù)流。這也意味著ACL的本質(zhì)其實是一種流量分類技術，它是人為定義的一組或幾組規(guī)則，目的是通過網(wǎng)絡設備對數(shù)據(jù)流分類，以便執(zhí)行用戶規(guī)定的動作。換句話說，ACL本身不能直接達到訪問控制的目的，它間接輔助特定的用戶策略，達到人們所需效果的一種技術手段。在筆者看來，ACL是一種輔助型的技術或者說是工具。

三、玩轉(zhuǎn)基本的ACL

拓撲描述：某企業(yè)有100個信息點，分屬五個部門。用一臺二層交換機和一臺路由器作為網(wǎng)絡層設備；局域網(wǎng)內(nèi)部有一臺OA服務器。

組網(wǎng)需求：五個部門分屬5個VLAN，VLAN間不能互通。要求所有終端都可以上公網(wǎng)，并訪問OA服務器。

也就是說，有兩個需求：

1、5個部門的終端不能互相通訊

2、5個部門都要求能夠訪問OA SERVER和公網(wǎng)。

根據(jù)這兩種實際需求，怎么用ACL實現(xiàn)呢？

以Cisco路由器為例，在全局模式下進行如下配置：

access-list 100 permit ip any host OA的ip
access-list 100 deny  ip any ip網(wǎng)絡號 通配符
access-list 100 permit ip any any
然后在相應的子接口下綁定:
ip access-group 100 in

命令解釋：第一條就是允許OA服務器上的數(shù)據(jù)進入，第二條就是拒絕其它四個部門的數(shù)據(jù)流進入，第三條是允許所有流量進入，然后最后在相應接口綁定并啟用放通或丟棄的操作。

我們配置ACL都有幾個配置原則，細化優(yōu)先原則和最長匹配原則，不同的配置順序影響不同的執(zhí)行效果。通常都是按一個匯總的原則進行規(guī)劃IP地址，所以第二條后面的IP網(wǎng)絡號代表的是其它VLAN的子網(wǎng)匯總網(wǎng)絡號。一般來說，思科的ACL最后都默認隱藏了一條deny 所有的語句，所以必須人為添加一條permit語句。

在邊界路由器上配置上述的命令，就能滿足需求了，當然還需要和其他配置命令相結合使用，比如劃分VLAN，配置路由協(xié)議等。但無論是怎樣的需求，只要記住ACL的核心，它是一種流量分類技術，可以用特定的方式標記和分類網(wǎng)絡中的流量，配合其它操作策略一起完成某項任務。只要明白這點，我們就能夠玩好基本的ACL了。

【9PC.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】