访问控制列表该如何设置

问：如何设置路由器的访问控制列表？

答：访问控制列表（Access Control List，简称ACL）是路由器中的一种包过滤技术，主要用于控制网络流量和保障网络安全。访问控制列表主要分为标准访问控制列表和扩展访问控制列表两大类。

标准访问控制列表主要对源地址进行控制，适用于所有协议。以Cisco 2600路由器为例，假设我们想要允许来自192.168.1.0网段的所有设备通过路由器向外发送数据，那么可以按照以下步骤进行设置：

定义一个标准访问控制列表（编号为1），命令为“aess-list 1 permit 192.168.1.0 0.0.0.255”。这里，我们允许源地址为192.168.1.0网段的设备通过。而“0.0.0.255”是这个网段的通配符掩码，用于匹配所有可能的子网地址。

然后，将该访问控制列表应用到路由器的某个接口上，例如串行接口0（interface serial 0），并指定该列表为出方向（out）。命令为“ip aess-group 1 out”。

扩展访问控制列表则可以实现更为复杂的控制，包括对源地址和目的地址的双重控制，以及针对特定协议的精准控制。以Cisco路由器为例，假设我们希望阻止来自192.168.1.0网段的所有设备通过80端口访问新浪网站，可以按照以下步骤进行设置：

创建一个非标准访问控制列表（编号为101），并拒绝所有TCP连接请求，命令为“aess-list 101 deny tcp 192.168.1.0 0.0.0.255 eq 80”。这里，“eq 80”表示只针对目标端口为80的连接进行限制。接着，允许其他所有连接通过，命令为“aess-list 101 permit any any”。将该访问控制列表应用到路由器的相应接口上。

通过以上设置，我们可以实现对路由器访问的精细控制，既保证了网络安全，又能够灵活管理网络流量。