Question

ACL如何禁止局域网的pc上QQnbsp;?

ACL如何禁止局域网的pc上QQnbsp;?nbsp;设QQ所用端口为8080.这样可否?access-listnbsp;101nbsp;denynbsp;udpnbsp;192.168.1.0nbsp;255.255.255.0nbsp;anynbsp;8080nbsp;顺便问多一个：我想只禁止nbsp;192.168.1.1nbsp;至nbsp;192.168.1.101nbsp;这100部pc上QQ呢？又该项怎么做？我可不想写100条类似的ACLnbsp;。

Answer 1

很多公司规定在上班时间禁止使用QQ和网络游戏，可是一直以来只能靠大家的自觉执行，在公司里上班时间用QQ聊天和打网络游戏之类的现象还是很普遍，那么就需要想办法从技术角度解决这个问题。访问控制列表对于禁止QQ和网络游戏，其实可以通过路由器的访问控制列表(ACL)来实现的。那么什么是访问控制列表呢？访问控制列表是思科的IOS提供的一种控制网络访问的工具，利用ACL可以在路由器的接口上灵活地控制过滤数据包，从而可以决定在路由器的任意接口上允许或者禁止我们需要控制的数据包。一个IP访问列表是控制一个或一组IP或其上的端口的一串命令序列。IP访问控制列表分为三类，分别为标准访问控制列表(Standardnbsp;accessnbsp;lists)，扩展访问控制列表(Extendednbsp;accessnbsp;lists)和命名访问控制列表(Namednbsp;accessnbsp;lists)。标准访问控制列表是基于源地址和掩码，是对整个TCP/IP协议族的过滤，列表的编号是1至99，格式如下：Router(config)#access-listnbsp;access-lists-number(1~99)nbsp;{deny|permit}nbsp;soucenbsp;[wildcard]Router(config-if)#{protocol}nbsp;access-groupnbsp;access-list-numbernbsp;{in|out}扩展访问列表检查源地址和目的地址，可以精确地过滤TCP或者UDP的端口。列表的编号是100至199，格式如下：Router(config)#access-listnbsp;access-list-number(100-199)nbsp;{permit|deny}nbsp;protocolnbsp;sourcenbsp;source-wildwardnbsp;[operatornbsp;port]nbsp;destinationnbsp;destinationnbsp;destination-wildcardnbsp;[operatornbsp;port]nbsp;[established]nbsp;[log]Router(config-if)#ipnbsp;access-groupnbsp;access-list-numbernbsp;{in|out}命名访问控制列表可以使用一组字母和数字的组合来代替扩展访问控制列表中的数字，使用它可以用来删除某一条特定的控制字符串，这样就可以更方便的精心修改。具体关于ACL的使用请参阅2003年10月的《网管员世界》或者思科的培训教材，比如CCNA的培训教材或相关资料。禁止QQ和网络游戏所有的网络应用，此处所指的是QQ和基于TCP/IP的网络游戏，都是通过和远端的服务器建立TCP或UDP的连接进行通讯的，也就是说，它们是用TCP或nbsp;UDP端口进行通讯的。我们可以禁止QQ和网络游戏特定的TCP或UDP端口，但是我们如何才能知道QQ和网络游戏是通过哪个端口和服务器端口通讯的呢？大家应该都知道，一般的操作系统里有一条“netstat”命令，可以列出详细的端口列表。但是面对众多的IP地址和端口号，我们是很难看出哪一个IP地址和端口才是我们需要控制的。其实，有很多单机版的网络防火墙软件，可以让我们详细并即时地看到哪一个应用软件在使用什么端口和远端通讯。在这里我推荐大家使用天网防火墙个人版。下面就以我公司禁止QQ的设置为例来演示一下。我公司上网是通过Cisconbsp;2611路由器的NAT功能上网的，Web和Mail都是通过NAT的端口映射实现的。首先，打开QQ以后，在天网防火墙里可以看到QQ正在和服务器UDPnbsp;8080端口进行通讯，那么我们要做的就是禁止源地址UDPnbsp;8080端口。Router(config)#nbsp;access-listnbsp;102nbsp;udpnbsp;denynbsp;anynbsp;anynbsp;eqnbsp;8080Router(config)#nbsp;access-listnbsp;102nbsp;tcpnbsp;permitnbsp;anynbsp;anyRouter(config)#nbsp;access-listnbsp;102nbsp;udpnbsp;permitnbsp;anynbsp;anyRouter(config)#nbsp;access-listnbsp;102nbsp;ipnbsp;permitnbsp;anynbsp;anyRouter(config-if)#nbsp;ipnbsp;access-groupnbsp;102nbsp;in第一个命令定义了编号为102的ACL，禁止所有源地址和目的地址的U