一、网络控制列表与网管软件殊途同归

大部分企业存在网络访问无序状态：如所有公司的员工都可以随意访问财务部门的电脑；在开集团的视频会议的时候，其他员工下载电影或者游戏浪费了宝贵的带宽，导致视频会议不怎么连贯；为了管理的方便，大开Telnet端口，对于这个威胁置之不理等等。对于这些问题，除了采取额外的局域网网管软件，还可以通过访问控制列表来实现。本文跟大家分享访问控制列表的使用方法与使用技巧，并帮助大家提高网络管理效率。

作为公司网管，我们在企业日常的网络管理中，经常会遇到一些进退两难的问题。如我们既要保障网络的畅通又必须设法拒绝那些不希望的网络连接。虽然，我们也可以通过其他的一些方式，如密码、权限、虚拟局域网，或者借助网管软件等实现这些目的，但是它们的管理不是太单一的，就是价格不菲。而访问控制列表，则给网络管理人员提供了一个网络控制平台。

访问控制列表是路由器上的一个服务，它结合路由器的基本功能，实现对访问流量的过滤与控制。实际上，访问控制列表就是一串连续的语句的集合，这些语句定义了哪些流量可以通过，哪些不可以通过。同时也定义了哪些流量具有优先性等。

具体的来说，访问控制列表可以起到如下作用：

1、可以限制员工对外部网络的访问

若在企业内网与外网的接口处部署路由器的访问控制列表，就可以决定哪种类型的通信流量被转发、哪些类型的通信流量被禁止等等。例如，我们可以允许只有 Email的通信流量被允许，而其他类型的通信流量则被路由器禁止。

根据这个网络控制规则，就可以限制用户内与外部网络的访问，只允许员工接收外部邮件，而不能进行其他的网络访问。通过类似的规则，还可以限制员工浏览特定网页、访问FTP服务器、使用BT下载工具等。

总之，若把带有访问控制列表的路由器部署在企业内网与外网的接口上，网络管理员就可以根据协议、端口、IP地址等等各种参数以及相互的结合来对员工的上网行为进行管理控制，这些功能与某些局域网管理软件实现的功能相类似。

2、提供网络访问的限制

若从企业内部考虑，有时会企业可能希望财务部门的电脑除了总经理办公室可以访问之外，而其他办公室都不能访问。但是，财务部门的电脑则可以访问其他部门的电脑，如他们访问行政部门的电脑，等等。

虽然通过虚拟局域网也可以实现网络的隔离，但这是双向的，也就是说要么两个部门的网络都不能相互访 问，要么就是两个部门的电脑可以畅通无阻的访问。一般情况下，我们可以把一些重要的部门设置成一个独立的网络，然后利用路由器对于彼此的访问进行控制。

3、管理网络流量、对网络流量进行优化

网络管理员还可以利用网络控制列表，实现对网络流量控制，并且对网络流量进行适当的优化。

如笔者的企业现在部署了网络视频会议系统，有时集团各个子公司的领导需要开视频会议；有时候销售总监也需要对国外的客户进行视频沟通等等。众所周知，视频会带来很大的数据流量，而且，保障视频的连续性与流畅性，也是一个不小的挑战。如何在视频的时候，保障视频的连续性与流畅性呢？为了达到这个目的，我们首先需要保障视频流量的有限性。如当他们在进行视频会议时，若网络比较繁忙，则我们必须保障视频会议的流量能够优先被放行。

访问控制列表可以根据数据包的协议类型设定优先级。如可以事先指定视频会议的协议类型具有比较高的优先性，在同等情况 下，会被路由器优先处理。如此的话，一些重要协议的数据包，就可以实现比较高的优先性。

同时，还可以在不影响网络性能的情况下，开通一些限制级别的服务。如虽然BT等下载工具会占用比较大的网络流量，但是，其存在也有其的特殊优势，就是下载速度特别快。而现在我们通过访问控制列表，可以把BT类型的数据优先级别设置为最低，如此就可以实现在不影响网络性能的情况下，运行BT 软件。因为当网络繁忙的时候，BT类型的数据包会被暂时放放，其他类型的数据包会优先被路由器处理。如此的话，就可以把BT软件给网络带来的负面影响将到最低，同时在闲暇的时候，如下班后，仍然可以正常使用BT等下载工具，提高网络管理的灵活性。

由此我们也可以获得这么一个信息，利用访问控制列表，可以实现对网络流量的灵活管理与控制。而不是像其它网络监控管理手段，如虚拟局域网或者凭用户名与密码访问那样，利用一帮子打死的策略。

上面是对访问控制列表的一些基本介绍。作为网管如能熟练掌握访问控制列表，就能更加轻松地掌控网络。