在三層交換機(jī)上配置ACL反向ACL訪問控制列表

1、拓?fù)鋱D在三層交換機(jī)上配置ACL3750VLAN10:/24VLAN20:/24VLAN30:192.11/24VLAN40:4VLAN100:/24IP:192.168GW:192.16VL.AN100FO/15要求實(shí)驗(yàn)要求1vlan10Jvlan20)vlan30,vlan40fO問VLANvlanlOO也可以訪問vlsm10,v怡n20,vlam30,vlw375盒置v!an103vlan20;vlan30都不能訪問曾lan40,但3750#conft以訪問盤rH0,vlan20川lan303750(config)#intfO/153750(config-if)#sw

2、itchportmodetrunk3750#vlandatabssnl0,7131120,vlanSO之間不能互相訪問3750(vlan)#vtpserver3750(vlan)#vtpdomainsy3750(vlan)#vtppasswordcisco3750(vlan)#vlan103750(vlan)#vlan203750(vlan)#vlan303750(vlan)#vlan403750(vlan)#vlan1003750(vlan)#exit3750(config)#iprouting3750(config)#intvlan103750(config-if)#ipaddress37

3、50(config-if)#noshutdown3750(config-if)#exit3750(config)#intvlan203750(config-if)#ipaddress3750(config-if)#noshutdown3750(config-if)#exit3750(config)#intvlan303750(config-if)#ipaddress3750(config-if)#noshutdown3750(config-if)#exit3750(config)#intvlan403750(config-if)#ipaddress3750(config-if)#noshutd

4、own3750(config-if)#exit3750(config)#intvlan1003750(config-if)#ipaddress3750(config-if)#noshutdown3750(config-if)#exit3750(config)#end3750(config)#intf0/13750(config-if)#switchportaccessvlan1003750(config-if)#end配置ACL3750#conft3750(config)#access-list100denyip55553750(config)#access-list100denyip5555

5、3750(config)#access-list100permitipanyany3750(config)#access-list101denyip55553750(config)#access-list101denyip55553750(config)#access-list101permitipanyany3750(config)#access-list102denyip55553750(config)#access-list102denyip55553750(config)#access-list102permitipanyany3750(config)#ipaccess-listext

6、endedinfilter在入方向放置reflect/3750(config-ext-nacl)#permitipanyanyreflectccna3750(config-ext-nacl)#exit3750(config)#ipaccess-listextendedoutfilter在出方向放置evaluate/3750(config-ext-nacl)#evaluateccna3750(config-ext-nacl)#denyip55any3750(config-ext-nacl)#denyip55any3750(config-ext-nacl)#denyip55any3750(conf

7、ig-ext-nacl)#permitipanyany3750(config-ext-nacl)#exit3750(config)#intvlan40/應(yīng)用到管理接口/3750(config-if)#ipaccess-groupinfilterin3750(config-if)#ipaccess-groupoutfilterout3750(config-if)#exit3750(config)#intvlan103750(config-if)#ipaccess-group100in3750(config-if)#exit3750(config)#intvlan203750(config-if)

8、#ipaccess-group101in3750(config-if)#exit3750(config)#intvlan303750(config-if)#ipaccess-group102in3750(config-if)#end2960配置：2960#conft2960(config)#intf0/152960(config-if)#switchportmodetrunk2960(config-if)#switchporttrunkencapsulationdot1q2960(config-if)#end2960#vlandatabase2960(vlan)#vtpclient2960(v

9、lan)#vtpdomainsy2960(vlan)#vtppasswordcisco2960(vlan)#exit2960#showvtpstatusVTPVersion:2ConfigurationRevision:2MaximumVLANssupportedlocally:256NumberofexistingVLANs:10VTPOperatingMode:ClientVTPDomainName:syVTPPruningMode:EnabledVTPV2Mode:DisabledVTPTrapsGeneration:DisabledMD5digest:0 x4D0 xA80 xC90

10、x000 xDC0 x580 x2F0 xDDConfigurationlastmodifiedbyat3-1-0200:13:342960#showvlan-swbriefVLANNameStatusPorts1defaultactiveFa0/0,Fa0/1,Fa0/2,Fa0/3Fa0/4,Fa0/5,Fa0/6,Fa0/7Fa0/8,Fa0/9,Fa0/10,Fa0/11Fa0/12,Fa0/13,Fa0/1410VLAN0010active20VLAN0020active30VLAN0030active40VLAN0040active100VLAN0100activefddi-def

11、aultactivetoken-ring-defaultactivefddinet-defaultactivetrnet-defaultactive2960#conft2960(config)#intf0/12960(config-if)#switchportaccessvlan102960(config-if)#intf0/22960(config-if)#switchportaccessvlan202960(config-if)#intf0/32960(config-if)#switchportaccessvlan302960(config-if)#intf0/42960(config-i

12、f)#switchportaccessvlan402960(config-if)#end客戶機(jī)驗(yàn)證：PC1：PC1#ping0Typeescapesequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:U.U.USuccessrateis0percent(0/5)PC1#ping0Typeescapesequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:U.U.USuccessrateis0percent(0/5)PC1#ping0Typeescap

13、esequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:U.U.USuccessrateis0percent(0/5)PC1#ping00Typeescapesequencetoabort.Sending5,100-byteICMPEchosto00,timeoutis2seconds:!Successrateis100percent(5/5),round-tripmin/avg/max=104/268/336msPC2：PC2#ping0Typeescapesequencetoabort.Sending5,100-by

14、teICMPEchosto0,timeoutis2seconds:U.U.USuccessrateis0percent(0/5)PC2#ping0Typeescapesequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:U.U.USuccessrateis0percent(0/5)PC2#ping0Typeescapesequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:U.U.USuccessrateis0percent(0/5)PC2#ping

15、00Typeescapesequencetoabort.Sending5,100-byteICMPEchosto00,timeoutis2seconds:!Successrateis100percent(5/5),round-tripmin/avg/max=56/170/336msPC3：PC3#ping0Typeescapesequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:.U.U.Successrateis0percent(0/5)PC3#ping0Typeescapesequencetoabort.Sendin

16、g5,100-byteICMPEchosto0,timeoutis2seconds:U.U.USuccessrateis0percent(0/5)PC3#ping0Typeescapesequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:U.U.USuccessrateis0percent(0/5)PC3#ping00Typeescapesequencetoabort.Sending5,100-byteICMPEchosto00,timeoutis2seconds:!Successrateis100percent(5/5

17、),round-tripmin/avg/max=144/218/416msPC4：PC4#ping0Typeescapesequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:.!Successrateis80percent(4/5),round-tripmin/avg/max=240/331/508msPC4#ping0Typeescapesequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:!Successrateis100percent(5/5

18、),round-tripmin/avg/max=220/288/356msPC4#ping0Typeescapesequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:!Successrateis100percent(5/5),round-tripmin/avg/max=144/207/268msPC4#ping00Typeescapesequencetoabort.Sending5,100-byteICMPEchosto00,timeoutis2seconds:!Successrateis100percent(5/5),

19、round-tripmin/avg/max=96/219/440msPC5：PC5#ping0Typeescapesequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:!Successrateis100percent(5/5),round-tripmin/avg/max=92/194/284msPC5#ping0Typeescapesequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:!Successrateis100percent(5/5),ro

20、und-tripmin/avg/max=144/209/336msPC5#ping0Typeescapesequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:!Successrateis100percent(5/5),round-tripmin/avg/max=64/184/372msPC5#ping0Typeescapesequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:!Successrateis100percent(5/5),round-t

21、ripmin/avg/max=192/239/308ms什么是ACL?訪問控制列表簡(jiǎn)稱為ACL,訪問控制列表使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址，目的地址，源端口，目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾，從而達(dá)到訪問控制的目的。該技術(shù)初期僅在路由器上支持，近些年來已經(jīng)擴(kuò)展到三層交換機(jī)，部分最新的二層交換機(jī)也開始提供ACL的支持了。訪問控制列表使用原則由于ACL涉及的配置命令很靈活，功能也很強(qiáng)大，所以我們不能只通過一個(gè)小小的例子就完全掌握全部ACL的配置。在介紹例子前為大家將ACL設(shè)置原則羅列出來，方便各位讀者更好的消化ACL知識(shí)。1、最小特權(quán)原則只給受控對(duì)象完

22、成任務(wù)所必須的最小的權(quán)限。也就是說被控制的總規(guī)則是各個(gè)規(guī)則的交集，只滿足部分條件的是不容許通過規(guī)則的。2、最靠近受控對(duì)象原則所有的網(wǎng)絡(luò)層訪問權(quán)限控制。也就是說在檢查規(guī)則時(shí)是采用自上而下在ACL中一條條檢測(cè)的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測(cè)下面的ACL語句。3、默認(rèn)丟棄原則在CISCO路由交換設(shè)備中默認(rèn)最后一句為ACL中加入了DENYANYANY,也就是丟棄所有不符合條件的數(shù)據(jù)包。這一點(diǎn)要特別注意，雖然我們可以修改這個(gè)默認(rèn)，但未改前一定要引起重視。由于ACL是使用包過濾技術(shù)來實(shí)現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無法識(shí)別到具體的人

23、，無法識(shí)別到應(yīng)用內(nèi)部的權(quán)限級(jí)別等。因此，要達(dá)到端到端的權(quán)限控制目的，需要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪問權(quán)限控制結(jié)合使用。標(biāo)準(zhǔn)訪問列表：訪問控制列表ACL分很多種，不同場(chǎng)合應(yīng)用不同種類的ACL。其中最簡(jiǎn)單的就是標(biāo)準(zhǔn)訪問控制列表，標(biāo)準(zhǔn)訪問控制列表是通過使用IP包中的源IP地址進(jìn)行過濾，使用的訪問控制列表號(hào)1到99來創(chuàng)建相應(yīng)的ACL標(biāo)準(zhǔn)訪問控制列表的格式訪問控制列表ACL分很多種，不同場(chǎng)合應(yīng)用不同種類的ACL。其中最簡(jiǎn)單的就是標(biāo)準(zhǔn)訪問控制列表，他是通過使用IP包中的源IP地址進(jìn)行過濾，使用的訪問控制列表號(hào)1到99來創(chuàng)建相應(yīng)的ACL。標(biāo)準(zhǔn)訪問控制列表是最簡(jiǎn)單的ACL。它的具體格式如下：access-listA

24、CL號(hào)permit|denyhostip地址例如：access-list10denyhost這句命令是將所有來自地址的數(shù)據(jù)包丟棄。當(dāng)然我們也可以用網(wǎng)段來表示，對(duì)某個(gè)網(wǎng)段進(jìn)行過濾。命令如下：access-list10deny55通過上面的配置將來自/24的所有計(jì)算機(jī)數(shù)據(jù)包進(jìn)行過濾丟棄。為什么后頭的子網(wǎng)掩碼表示的是55呢?這是因?yàn)镃ISCO規(guī)定在ACL中用反向掩瑪表示子網(wǎng)掩碼，反向掩碼為55的代表他的子網(wǎng)掩碼為。小提示：對(duì)于標(biāo)準(zhǔn)訪問控制列表來說，默認(rèn)的命令是HOST,也就是說access-list10deny表示的是拒絕這臺(tái)主機(jī)數(shù)據(jù)包通訊，可以省去我們輸入host命令。標(biāo)準(zhǔn)訪問控制列表實(shí)例一我們采

25、用如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)。路由器連接了二個(gè)網(wǎng)段，分別為/24，/24。在/24網(wǎng)段中有一臺(tái)服務(wù)器提供WWW服務(wù)，IP地址為3。實(shí)例1：禁止/24網(wǎng)段中除3這臺(tái)計(jì)算機(jī)訪問/24的計(jì)算機(jī)。3可以正常訪問/24。路由器配置命令access-list1permithost3設(shè)置ACL，容許3的數(shù)據(jù)包通過。access-list1denyany設(shè)置ACL，阻止其他一切IP地址進(jìn)行通訊傳輸。inte1進(jìn)入E1端口。ipaccess-group1in將ACL1宣告。經(jīng)過設(shè)置后E1端口就只容許來自3這個(gè)IP地址的數(shù)據(jù)包傳輸出去了。來自其他IP地址的數(shù)據(jù)包都無法通過E1傳輸。小提示：由于CISCO默認(rèn)添加了DENY

26、ANY的語句在每個(gè)ACL中，所以上面的access-list1denyany這句命令可以省略。另外在路由器連接網(wǎng)絡(luò)不多的情況下也可以在E0端口使用ipaccess-group1out命令來宣告，宣告結(jié)果和上面最后兩句命令效果一樣。標(biāo)準(zhǔn)訪問控制列表實(shí)例二配置任務(wù)：禁止3這個(gè)計(jì)算機(jī)對(duì)/24網(wǎng)段的訪問，而/24中的其他計(jì)算機(jī)可以正常訪問。路由器配置命令：access-list1denyhost3設(shè)置ACL，禁止3的數(shù)據(jù)包通過access-list1permitany設(shè)置ACL，容許其他地址的計(jì)算機(jī)進(jìn)行通訊inte1進(jìn)入E1端口ipaccess-group1in將ACL1宣告，同理可以進(jìn)入E0端口后使

27、用ipaccess-group1out來完成宣告。配置完畢后除了3其他IP地址都可以通過路由器正常通訊，傳輸數(shù)據(jù)包?？偨Y(jié)：標(biāo)準(zhǔn)ACL占用路由器資源很少，是一種最基本最簡(jiǎn)單的訪問控制列表格式。應(yīng)用比較廣泛，經(jīng)常在要求控制級(jí)別較低的情況下使用。如果要更加復(fù)雜的控制數(shù)據(jù)包的傳輸就需要使用擴(kuò)展訪問控制列表了，他可以滿足我們到端口級(jí)的要求。擴(kuò)展訪問控制列表：上面我們提到的標(biāo)準(zhǔn)訪問控制列表是基于IP地址進(jìn)行過濾的，是最簡(jiǎn)單的ACL。那么如果我們希望將過濾細(xì)到端口怎么辦呢?或者希望對(duì)數(shù)據(jù)包的目的地址進(jìn)行過濾。這時(shí)候就需要使用擴(kuò)展訪問控制列表了。使用擴(kuò)展IP訪問列表可以有效的容許用戶訪問物理LAN而并不容許他

28、使用某個(gè)特定服務(wù)（例如WWW,FTP等）。擴(kuò)展訪問控制列表使用的ACL號(hào)為100到199。擴(kuò)展訪問控制列表的格式剛剛我們提到了標(biāo)準(zhǔn)訪問控制列表，他是基于IP地址進(jìn)行過濾的，是最簡(jiǎn)單的ACL。那么如果我們希望將過濾細(xì)到端口怎么辦呢?或者希望對(duì)數(shù)據(jù)包的目的地址進(jìn)行過濾。這時(shí)候就需要使用擴(kuò)展訪問控制列表了。使用擴(kuò)展IP訪問列表可以有效的容許用戶訪問物理LAN而并不容許他使用某個(gè)特定服務(wù)（例如WWW，F(xiàn)TP等）。擴(kuò)展訪問控制列表使用的ACL號(hào)為100到199。擴(kuò)展訪問控制列表的格式：擴(kuò)展訪問控制列表是一種高級(jí)的ACL，配置命令的具體格式如下：access-listACL號(hào)permit|deny協(xié)議定義

29、過濾源主機(jī)范圍定義過濾源端口定義過濾目的主機(jī)訪問定義過濾目的端口例如：access-list101denytcpanyhosteqwww這句命令是將所有主機(jī)訪問這個(gè)地址網(wǎng)頁服務(wù)（WWW）TCP連接的數(shù)據(jù)包丟棄。小提示：同樣在擴(kuò)展訪問控制列表中也可以定義過濾某個(gè)網(wǎng)段，當(dāng)然和標(biāo)準(zhǔn)訪問控制列表一樣需要我們使用反向掩碼定義IP地址后的子網(wǎng)掩碼。擴(kuò)展訪問控制列表實(shí)例我們采用如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)。路由器連接了二個(gè)網(wǎng)段，分別為172.1640/24,/24。在/24網(wǎng)段中有一臺(tái)服務(wù)器提供WWW服務(wù)，IP地址為3。配置任務(wù)：禁止的計(jì)算機(jī)訪問的計(jì)算機(jī)，包括那臺(tái)服務(wù)器，不過惟獨(dú)可以訪問3上的WWW服務(wù)，而其他服務(wù)不

30、能訪問。路由器配置命令：access-list101permittcpanyeqwww設(shè)置ACL101，容許源地址為任意IP,目的地址為3主機(jī)的80端口即WWW服務(wù)。由于CISCO默認(rèn)添加DENYANY的命令，所以ACL只寫此一句即可。inte1進(jìn)入E1端口ipaccess-group101out將ACL101宣告出去設(shè)置完畢后的計(jì)算機(jī)就無法訪問的計(jì)算機(jī)了，就算是服務(wù)器3開啟了FTP服務(wù)也無法訪問,惟獨(dú)可以訪問的就是3的WWW服務(wù)了。而的計(jì)算機(jī)訪問的計(jì)算機(jī)沒有任何問題。擴(kuò)展ACL有一個(gè)最大的好處就是可以保護(hù)服務(wù)器，例如很多服務(wù)器為了更好的提供服務(wù)都是暴露在公網(wǎng)上的，這時(shí)為了保證服務(wù)正常提供所有

31、端口都對(duì)外界開放，很容易招來黑客和病毒的攻擊，通過擴(kuò)展ACL可以將除了服務(wù)端口以外的其他端口都封鎖掉，降低了被攻擊的機(jī)率。如本例就是僅僅將80端口對(duì)外界開放?？偨Y(jié)：擴(kuò)展ACL功能很強(qiáng)大，他可以控制源IP，目的IP，源端口，目的端口等，能實(shí)現(xiàn)相當(dāng)精細(xì)的控制，擴(kuò)展ACL不僅讀取IP包頭的源地址/目的地址，還要讀取第四層包頭中的源端口和目的端口的IP。不過他存在一個(gè)缺點(diǎn)，那就是在沒有硬件ACL加速的情況下,擴(kuò)展ACL會(huì)消耗大量的路由器CPU資源。所以當(dāng)使用中低檔路由器時(shí)應(yīng)盡量減少擴(kuò)展ACL的條目數(shù)，將其簡(jiǎn)化為標(biāo)準(zhǔn)ACL或?qū)⒍鄺l擴(kuò)展ACL合一是最有效的方法?；诿Q的訪問控制列表不管是標(biāo)準(zhǔn)訪問控制列表

32、還是擴(kuò)展訪問控制列表都有一個(gè)弊端，那就是當(dāng)設(shè)置好ACL的規(guī)則后發(fā)現(xiàn)其中的某條有問題，希望進(jìn)行修改或刪除的話只能將全部ACL信息都刪除。也就是說修改一條或刪除一條都會(huì)影響到整個(gè)ACL列表。這一個(gè)缺點(diǎn)影響了我們的工作，為我們帶來了繁重的負(fù)擔(dān)。不過我們可以用基于名稱的訪問控制列表來解決這個(gè)問題。一、基于名稱的訪問控制列表的格式：ipaccess-liststandard|extendedACL名稱例如：ipaccess-liststandardsofter就建立了一個(gè)名為softer的標(biāo)準(zhǔn)訪問控制列表。二、基于名稱的訪問控制列表的使用方法：當(dāng)我們建立了一個(gè)基于名稱的訪問列表后就可以進(jìn)入到這個(gè)ACL中

33、進(jìn)行配置了。例如我們添加三條ACL規(guī)則permitpermitpermit如果我們發(fā)現(xiàn)第二條命令應(yīng)該是而不是，如果使用不是基于名稱的訪問控制列表的話，使用nopermit后整個(gè)ACL信息都會(huì)被刪除掉。正是因?yàn)槭褂昧嘶诿Q的訪問控制列表，我們使用nopermit后第一條和第三條指令依然存在?？偨Y(jié)：如果設(shè)置ACL的規(guī)則比較多的話，應(yīng)該使用基于名稱的訪問控制列表進(jìn)行管理,這樣可以減輕很多后期維護(hù)的工作，方便我們隨時(shí)進(jìn)行調(diào)整ACL規(guī)則。反向訪問控制列表：我們使用訪問控制列表除了合理管理網(wǎng)絡(luò)訪問以外還有一個(gè)更重要的方面，那就是防范病毒，我們可以將平時(shí)常見病毒傳播使用的端口進(jìn)行過濾，將使用這些端口的數(shù)據(jù)

34、包丟棄。這樣就可以有效的防范病毒的攻擊。不過即使再科學(xué)的訪問控制列表規(guī)則也可能會(huì)因?yàn)槲粗《镜膫鞑ザ鵁o效，畢竟未知病毒使用的端口是我們無法估計(jì)的，而且隨著防范病毒數(shù)量的增多會(huì)造成訪問控制列表規(guī)則過多，在一定程度上影響了網(wǎng)絡(luò)訪問的速度。這時(shí)我們可以使用反向控制列表來解決以上的問題。反向訪問控制列表的用途及格式一、反向訪問控制列表的用途反向訪問控制列表屬于ACL的一種高級(jí)應(yīng)用。他可以有效的防范病毒。通過配置反向ACL可以保證AB兩個(gè)網(wǎng)段的計(jì)算機(jī)互相PING，A可以PING通B而B不能PING通A。說得通俗些的話就是傳輸數(shù)據(jù)可以分為兩個(gè)過程，首先是源主機(jī)向目的主機(jī)發(fā)送連接請(qǐng)求和數(shù)據(jù)，然后是目的主機(jī)在

35、雙方建立好連接后發(fā)送數(shù)據(jù)給源主機(jī)。反向ACL控制的就是上面提到的連接請(qǐng)求。二、反向訪問控制列表的格式反向訪問控制列表格式非常簡(jiǎn)單，只要在配置好的擴(kuò)展訪問列表最后加上established即可。我們還是通過實(shí)例為大家講解。我們采用如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)。路由器連接了二個(gè)網(wǎng)段，分別為/24,/24。在/24網(wǎng)段中的計(jì)算機(jī)都是服務(wù)器，我們通過反向ACL設(shè)置保護(hù)這些服務(wù)器免受來自這個(gè)網(wǎng)段的病毒攻擊。配置實(shí)例：禁止病毒從/24這個(gè)網(wǎng)段傳播到/24這個(gè)服務(wù)器網(wǎng)段。路由器配置命令：access-list101permittcp5555established定義ACL101，容許所有來自網(wǎng)段的計(jì)算機(jī)訪問網(wǎng)段中的計(jì)

36、算機(jī)，前提是TCP連接已經(jīng)建立了的。當(dāng)TCP連接沒有建立的話是不容許訪問的。inte1進(jìn)入E1端口ipaccess-group101out將ACL101宣告出去設(shè)置完畢后病毒就不會(huì)輕易的從傳播到的服務(wù)器區(qū)了。因?yàn)椴《疽雮鞑ザ际侵鲃?dòng)進(jìn)行TCP連接的，由于路由器上采用反向ACL禁止了網(wǎng)段的TCP主動(dòng)連接，因此病毒無法順利傳播。小提示：檢驗(yàn)反向ACL是否順利配置的一個(gè)簡(jiǎn)單方法就是拿里的一臺(tái)服務(wù)器PING在中的計(jì)算機(jī)，如果可以PING通的話再用那臺(tái)計(jì)算機(jī)PING的服務(wù)器，PING不通則說明ACL配置成功。通過上文配置的反向ACL會(huì)出現(xiàn)一個(gè)問題，那就是的計(jì)算機(jī)不能訪問服務(wù)器的服務(wù)了，假如圖中3提供了WWW服務(wù)的話也不能正常訪問。解決的方法是在ESTABLISHED那句前頭再添加一個(gè)擴(kuò)展ACL規(guī)則，例如：access-list101permittcp55eqwww這樣根據(jù)最靠近受控對(duì)象原則即在檢查ACL規(guī)則時(shí)是采用自上而下在ACL中一條條檢測(cè)的，只要發(fā)現(xiàn)符合條件了就立刻