ACL（访问控制列表）技术
　　为了过滤通过网络设备的数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表（Access Control List，ACL）就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。ACL应用在交换机全局或端口，交换机根据ACL中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。访问控制列表又可分为以下几种类型。

　　基本访问控制列表：根据三层源IP制定规则，对数据包进行相应的分析处理。

　　高级访问控制列表：根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则，对数据包进行相应的处理。高级访问控制列表支持对三种报文优先级的分析处理：TOS(Type Of Service)优先级、IP优先级和DSCP优先级。

　　二层访问控制列表：根据源MAC地址、源VLAN ID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则，对数据进行相应处理。

　　用户自定义访问控制列表：根据用户的定义对二层数据帧的前80个字节中的任意字节进行匹配，对数据报文作出相应的处理。正确使用用户自定义访问控制列表需要用户对二层数据帧的构成有深入的了解。

　　访问控制列表在网络设备中有着广泛的应用，访问控制列表配置、启用包括以下几个步骤，最好依次进行，其中前两个步骤可以不用配置，采用默认值。

　　(1)配置时间段
　　在系统视图下使用time-range命令配置时间段。例如，如果想在每周的上班时间8:00--16:00控制用户访问，可以使用下面的命令:
　　time-range ourworingtime 8:00 to 16:00 working-day

　　(2)选择交换机使用的流分类规则模式
　　交换机只能选择一种流分类规则模式：二层ACL模式或者三层ACL模式。在二层ACL模式下，只有二层ACL可以被定义、激活或者被其他应用引用，三层ACL模式类似。可以通过下面的命令来选择使用L2或L3模式的流分类规则。缺省情况下，选择使用IP-based流分类规则模式，即L3流分类规则。

　　在系统视图下进行下列配置：
　　acl mode { ip-based | link-based }
　　(3)定义访问控制列表（命令较多，只以高级访问控制列表为例）
　　①进入相应的访问控制列表视图
　　acl { number acl-number | name acl-name advanced } [ match-order { config | auto } ]

　　②定义访问列表的子规则
　　在系统视图下使用rule命令配置规则。
　　例如，如果想控制内网10.10.2.0/24用户在工作时间使用ftp下载，可以使用下面的命令：
　　acl number 3006
　　rule 1 deny tcp source 10.10.2.0 255.255.255.0 destination any destination-port eq ftp time-range ourworingtime

　　③激活访问控制列表
　　不同的交换机型号配置命令不太相同，以S6500系列为例，在QoS 视图下进行下列配置：
　　packet-filter inbound { ip-group { acl-number | acl-name } [ rule rule ] | link-group { acl-number | acl-name } [ rule rule ] }

　　下期将为您介绍流量及端口限速控制技术、TCP属性及CPU负载控制技术、ARP技术、登录和访问交换机控制技术、镜像技术。

未完待续http://itexam.csai.cn/cisco/200605310844301326.htm