ACL访问控制列表

ACL访问控制列表

1、两种类型：

标准ACL：检查源地址，通常允许或拒绝的是完整的协议。

扩展ACL：检查源地址和目的地址，通常允许或拒绝的是某个特定的协议。

 

2、两个方向：

in:进站

out:出站

标准ACL通常应用到离目标最近的端口，方向为out。

扩展ACL通常应用到离源最近的端口，方向为in。

 

3、两个动作：

deny:拒绝

permit:允许：

 

4、两种命名方式：

名称命名：

standard:

extended:

编号命名：

标准ACL：1～99

扩展ACL：100～199，2000～2699

 

5、有一条默认拒绝所有的规则，所以配置拒绝条目后，必须要配置被允许的条目。

 

6、执行顺序：

从上至下，一旦匹配，不再往下执行。

 

7、命名方式：

名称命名：ip access-list standard 名称

然后在config-std-nacl里面定义规则

编号命名：access-list 10 deny 192.168.10.0

定义名称后跟规则

 

例子：

名称命名标准ACL

R2(config)#ip access-list standard A1

R2(config-std-nacl)#deny 192.168.10.0 0.0.0.255

R2(config-std-nacl)#deny 192.168.20.1 0.0.0.0

R2(config-std-nacl)#permit any

编号命名标准ACL

R2(config)#access-list 10 deny 192.168.10.0 0.0.0.255

R2(config)#access-list 10 deny host 192.168.20.1

R2(config)#access-list 10 permit any

R2(config)#int f0/0

R2(config-if)#ip acc 10 out

 

名称命名拓展ACL

R1(config)#ip access-list extended A1

R1(config-ext-nacl)#deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.1 eq www

R1(config-ext-nacl)#permit ip any any

R1(config)#int f0/0

R1(config-if)#ip acc A1 in

编号方式命名拓展ACL

R1(config)#access-list 100 deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.1 eq www

R1(config)#access-list 100 permit ip any any

R1(config)#int f0/0

R1(config-if)#ip acc 100 in

 

基于时间的ACL

1、设置路由器时间

首先设置路由器时间，保证时间正确才能后正常操作

例子：Clock set 14:13:00 26 july 2018

 

2、建立时间范围

3、应用到列表

例子：

（config）#access-list 101 deny tcp any any eq www time-range deny_http

 

实验：

每个工作日的上班时间内不允许员工浏览网页