ACL访问控制列表

ACL访问控制列表

1、两种类型:

标准ACL:检查源地址,通常允许或拒绝的是完整的协议。

扩展ACL:检查源地址和目的地址,通常允许或拒绝的是某个特定的协议。

 

2、两个方向:

in:进站

out:出站

标准ACL通常应用到离目标最近的端口,方向为out。

扩展ACL通常应用到离源最近的端口,方向为in。

 

3、两个动作:

deny:拒绝

permit:允许:

 

4、两种命名方式:

名称命名:

standard:

extended:

编号命名:

标准ACL:1~99

扩展ACL:100~199,2000~2699

 

5、有一条默认拒绝所有的规则,所以配置拒绝条目后,必须要配置被允许的条目。

 

6、执行顺序:

从上至下,一旦匹配,不再往下执行。

 

7、命名方式:

名称命名:ip access-list standard 名称

然后在config-std-nacl里面定义规则

编号命名:access-list 10 deny 192.168.10.0

定义名称后跟规则

 

例子:

名称命名标准ACL

R2(config)#ip access-list standard A1

R2(config-std-nacl)#deny 192.168.10.0 0.0.0.255

R2(config-std-nacl)#deny 192.168.20.1 0.0.0.0

R2(config-std-nacl)#permit any

编号命名标准ACL

R2(config)#access-list 10 deny 192.168.10.0 0.0.0.255

R2(config)#access-list 10 deny host 192.168.20.1

R2(config)#access-list 10 permit any

R2(config)#int f0/0

R2(config-if)#ip acc 10 out

 

名称命名拓展ACL

R1(config)#ip access-list extended A1

R1(config-ext-nacl)#deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.1 eq www

R1(config-ext-nacl)#permit ip any any

R1(config)#int f0/0

R1(config-if)#ip acc A1 in

编号方式命名拓展ACL

R1(config)#access-list 100 deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.1 eq www

R1(config)#access-list 100 permit ip any any

R1(config)#int f0/0

R1(config-if)#ip acc 100 in

 

基于时间的ACL

1、设置路由器时间

首先设置路由器时间,保证时间正确才能后正常操作

例子:Clock set 14:13:00 26 july 2018

 

2、建立时间范围

 

 

3、应用到列表

例子:

(config)#access-list 101 deny tcp any any eq www time-range deny_http

 

实验:

每个工作日的上班时间内不允许员工浏览网页

 

 

posted @ 2019-11-29 16:13  这肥猫,好橘!  阅读(590)  评论(0编辑  收藏  举报