acl

对员工开放
web服务器(10.1.2.20)提供的http服务
FTP服务器(10.1.2.22)提供的FTP服务
数据库服务器(10.1.2.21)通过1521端口

ip access-list extend server-protect
permit tcp host 10.1.6.33 host 10.1.2.21 eq 1521
deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq www
permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq ftp
exit
int vlan 2
ip access-group server-protect

最为精确匹配的ACL语句一定要写在最前面的原则

 

要求
上班时间(9:00-18:00)
禁止浏览internet
禁止使用QQ、MSN
而且在2003年6月1号到2号的所有时间内都不允许进行上述操作。
但在任何时间都可以允许访问Internet。
 
分析
http使用TCP/80端口
https使用TCP/443端口
MSN使用TCP/1863端口
QQ使用TCP/UDP8000端口，可能使用到udp/4000进行通讯。
代理服务器主要布署在TCP 8080、TCP 3128（HTTP代理）和TCP 1080 (socks)这三个端口上

time-range TR1
absolute start 00:00 1 June 2003 end 00:00 3 June 2003
periodic weekdays start 9:00 18:00
exit
ip access-list extend internet_limit
deny tcp 10.1.0.0 0.0.255.255 any eq 80   time-range TR1
deny tcp 10.1.0.0 0.0.255.255 any eq 443  time-range TR1
deny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TR1
deny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1
deny udp 10.1.0.0 0.0.255.255 any eq 8000 time-range TR1
deny udp 10.1.0.0 0.0.255.255 any eq 4000 time-range TR1
deny tcp 10.1.0.0 0.0.255.255 any eq 3128 time-range TR1
deny tcp 10.1.0.0 0.0.255.255 any eq 8080 time-range TR1
deny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range TR1
permit ip any any
int s0/0
ip access-group internet_limit out
或
int fa0/0
ip access-group internet_limit in
或者将ACL配置在SWA上
int vlan 3
ip access-group internet_limit out

要求
实行薪资的不透明化管理
由于目前的薪资收入数据还放在财务部门中，所以公司不希望市场vlan5和研发vlan6部门能访问到财务部Vlan4中的数据
财务部门做为公司的核心管理部门，能访问到市场和研发部门内的数据。

分析
A与B要实现通讯，既需要A能向B发包，也需要B能向A发包，任何一个方向的包被阻断，通讯都不能成功。
要想实现真正意义上的单向访问控制，在财务部门访问市场和研发部门时，能在市场和研发部门的ACL中临时生成一个反向的ACL条目，这样就能实现单向访问了。需要使用到反向ACL技术。

在SWA上做了如下的配置：
ip access-list extend fi-access-limit
deny ip any 10.1.4.0 0.0.0.255
permit ip any any 

ip access-list extend fi-main
permit tcp  any 10.1.0.0 0.0.255.255 reflect r-main timeout 120
permit udp  any 10.1.0.0 0.0.255.255 reflect r-main timeout 200
permit icmp any 10.1.0.0 0.0.255.255 reflect r-main timeout 10
permit ip any any

int vlan 4
ip access-group fi-main in
ip access-list extend fi-access-limit

evaluate r-main
deny ip any 10.1.4.0 0.0.0.255
permit ip any any
 
int vlan 5
ip access-group fi-access-limit in
int vlan 6
ip access-group fi-access-limit in

解释如下：
ACL(fi-main)并应用在具备访问权限的接口下(财务部所在的vlan4)的in方向，使用该acl中具备reflect关键字的acl条目来捕捉建立反向ACL条目所需要的信息。我们将该ACL称为主ACL。

reflect r-main timeout xxx：其中的reflect关键字表明该条目可以用于捕捉建立反向的ACL条目所需要的信息。r-main是reflect组的名字，具备相同reflect组名字的所有的ACL条目为一个reflect组。timeout xxx表明由这条ACL条目所建立起来的反向ACL条目在没有流量的情况下，多长时间后会消失（缺省值为300秒）。

evaluate r-main：我们注意到在fi-access-limit(我们把它称为反ACL)增加了这样一句，这一句的意思是有符合r-main这个reflect组中所定义的acl条目的流量发生时，在evaluate语句所在的当前位置动态生成一条反向的permit语句。

反向ACL的局限性：
必须使用命名的ACL，其实这不能叫局限性，应该算注意事项吧； 对多通道应用程序如h123之类无法提供支持。

标准的IP ACL、扩展的IP ACL、基于名字的ACL、基于时间的ACL、反向ACL。

“有什么办法能知道ACL都过滤了从哪儿来，到哪儿去的流量？”。只需要在需要记录的acl条目的最后加一个log关键字，这样在有符合该ACL条目数据包时，就会产生一条日志信息发到你的设备所定义的日志服务器上去。