访问控制列表概述
访问控制列表(ACL)
读取第三层、第四层包头信息,根据预先定义好的规则对包进行过滤.
访问控制列表的工作原理
访问控制列表在接口应用的方向,访问控制列表的处理过程.

 

访问控制列表(ACL)

注意事项
1、访问控制列表对路由器本身产生的数据包不起作用
2、只有在数据包与第一个判断条件不匹配时,它才交给ACL中的下一个条件判断语句进行比较
3、在与某条语句匹配后,就结束比较过程,不再检查以后的其他条件判断语句
4、如果不与任一语句匹配,则它必与最后隐含的拒绝匹配
5、按照从具体到普遍的次序来排列条目
6、将较经常发生的条件放在较不经常发生的条件之前

Router(config-if)# no ip access-group access-list-number {in |out}
扩展访问控制列表配置
扩展ACL配置通过协议、源端口号、目的端口号、源地址和目的地址过滤。
创建ACL
Router(config)# access-list  access-list-number { permit | deny } protocol { source source-wildcard destination  destination-wildcard } [ operator operan ]
删除ACL
Router(config)# no access-list access-list-number
将ACL应用于接口
Router(config-if)# ip access-group access-list-number {in |out}
在接口上取消ACL的应用
Router(config-if)# no ip access-group access-list-number {in |out}
删除ACL为整组删除,而不能删除单一语句。所以要改动标准或扩展ACL只能整组重新配置。
命名访问控制列表配置
创建ACL
命名ACL分为两种:标准和扩展
Router(config)# ip  access-list  { standard | extended  } access-list-name
配置标准命名ACL
Router(config-std-nacl)# [ Sequence-Number ]  { permit | deny }  source [ source-wildcard ]
配置扩展命名ACL
Router(config-ext-nacl)# [ Sequence-Number ]  { permit | deny } protocol { source source-wildcard destination  destination-wildcard }  [ operator operan ]
Sequence-Number决定ACL语句在ACL列表中的位置
将ACL应用于接口
Router(config-if)# ip access-group access-list-name {in |out}
在接口上取消ACL的应用
Router(config-if)# no ip access-group access-list-name {in |out}
定义时间范围
参数days-of-the-week的取值
定义时间范围的名称
Router(config)# time-range time-range-name
指定该时间范围何时生效
定义一个时间周期
Router(config-time-range)# periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm
定义一个绝对时间
Router(config-time-range)# absolute [start hh:mm day month year]  [end hh:mm day month year]
时间周期
取值         说明
Monday      星期一
Tuesday         星期二
Wednesday 星期三
Thursday 星期四
Friday         星期五
Saturday 星期六
Sunday          星期日
daily         每天
weekdays 在平日 (指星期一至星期五)
weekend         周末(指星期六和星期日)
扩展ACL中引入时间范围
Router(config)# access-list   access-list-number  { permit | deny } protocol { source  source-wildcard  destination     destination-wildcard } [ operator operan ] time-range        time-range-name
将ACL应用于接口
Router(config-if)# ip access-group access-list-number { in |out }
查看ACL配置信息
Router#show access-lists