访问控制列表

访问控制列表的类型

1 标准访问控制列表

2 扩展访问控制列表

3 命名访问控制列表

4 定时访问控制列表

创建acl

1.标准访问控制列表

Router(config)#access-list  access-list number {permit | deny} source [source-wildcard]

access-list 访问控制列表号，标准为1--99之间

permit | deny 允许或拒绝

Source 数据包的源地址，也可为网络地址

Source wildcard 反子网掩码

如：access-list 1 permit 192.168.1.0 0.0.0.255

允许192.168.1.0/24的流量通过

2.扩展访问控制列表

Router(config)#access-list  access-list number {permit | deny} protocol {source source-wildcard destination destination-wildcard} 【operator operan】

access-list 访问控制列表号，扩展为100--199之间

Protocol——为协议 如ip tcp udp icmp等

Source destination 为源和目的地址

如：access-list  101  permit  ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list  101 deny  ip   any   any

3命名访问控制列表

Router(config)# ip  access-list  { standard | extended  } access-list-name

配置标准命名ACL（ standard）

Router(config-std-nacl)# [ Sequence-Number ]  { permit | deny }  source [ source-wildcard ]

配置扩展命名ACL（extended）

Router(config-ext-nacl)# [ Sequence-Number ]  { permit | deny } protocol 

{ source source-wildcard destination  destination-wildcard }  [ operator operan ]

应用于接口

Ip access-group  access-list-name  { in  out}

4定时访问控制列表

Router(config)# time-range time-range-name

定义一个时间周期

Router(config-time-range)# periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm

定义一个绝对时间

Router(config-time-range)# absolute [start hh:mm day month year]  [end hh:mm day month year]

扩展ACL中引入时间范围

Router(config)# access-list   access-list-number  { permit | deny } protocol { source  source-wildcard  destination     destination-wildcard } [ operator operan ] time-range        time-range-name

将ACL应用于接口

Router(config-if)# ip access-group access-list-number { in |out }

应用实例1

Router(config)# time-range mytime

Router(config-time-range)# periodic weekdays 8:30 to 17:30

Router(config-time-range)# exit

Router(config)# access-list 101 permit ip any any time-range mytime

Router(config)# int f0/0

Router(config-if)# ip access-group 101 in

应用实例2

Router(config)# time-range mytime

Router(config-time-range)# absolute start 8:00 10 may 2009 end 18:00 20 may 2009

Router(config-time-range)# exit

Router(config)# access-list 101 permit ip any any time-range mytime

Router(config)# int f0/0

Router(config-if)# ip access-group 101 in