标准ACL和扩展ACL

一、标准ACL

1、实验要求：
允许PC0访问Router，不允许PC1访问Router

主要代码

Router(config)#access-list 10 permit 192.168.1.2 255.255.255.0  //允许PC0访问Router
Router(config)#access-list 10 deny 192.168.1.3 255.255.255.0   //拒绝PC1访问Router
Router(config)#int fa0/0
Router(config-if)#ip access-group 10 in  //将此ACL列表运用在进端口上（绑定在物理端口上）

//标准访问控制列表编号范围0~99，或1300-1999

实验结果
PC0通

PC1不通

2、拒绝PC1telnet路由器，并将访问列表绑定在telnet端口上

Router(config)#access-list 10 permit host 192.168.1.2  //单指定某一台主机可以用host+主机IP
Router(config)#line vty 0 15
Router(config-line)#access-class 10 in  //绑定在telnet端口用access-class

二、基于时间

实验要求：
周一到周五，不允许R1使用telnet访问R4
1、R4开启telnet服务

测试

2、配置time-range

R3(config)#time-range week
R3(config-time-range)#periodic weekdays 9:10 to 10:00
R3(config-time-range)#ip access-list extend int
R3(config-ext-nacl)#deny tcp host 192.168.1.2 any eq 23 time-range week   //拒绝telnet服务（telnet端口是23）
R3(config-ext-nacl)#permit ip any any
R3(config-ext-nacl)#exit
R3(config)#int fa0/0
R3(config-if)#ip access-group int in 

也可以写成扩展ACL

R3(config)#time-range week
R3(config-time-range)#periodic weekdays 9:10 to 10:00
R3(config)#access-list 100 deny tcp host 192.168.1.2 any eq 23 time-range week
......

（1）扩展ACL具有更多的匹配项，包括协议类型、源地址、目的地址、端口等
（2）扩展ACL编号是100~199,2000~2699
（3）端口前要加入运算符，eq等于、neq不等于、gt大与、lt小与、rang范围

3、设置路由器时间

4、验证