ACL -- Access Control List,访问控制列表
1.路由器上一般称为ACL,主要基于3层、4层
2.防火墙上一般称为ACL或策略,主要基于3、4、5层
3.ACL的作用:一种包过滤技术!
4.ACL的详情: 1)ACL是一张表,写完后,不生效!必须应用到接口的一个方向地才可生效! 2)应用时,in为进方向、out为出方向,进或出是站在路由器的角度。 3)一个接口的一个方向只能应用一张ACL表 4)ACL表在匹配时是严格自上而下匹配每一条! 5)在ACL表的最后隐藏着一条拒绝所有的策略! 6)一般情况下,标准或扩展ACL一旦编写完成,则不能删除某一条, 也不能往中间插入某一条,也不能修改,只能删除整张表,重新写!
5.ACL列表有2种类型: 1)标准ACL:表号1-99,1300-1999,特点:只能基于源IP地址对包进行过滤 2)扩展ACL:表号100-199,2000-2699,特点:可以基于源IP、目标IP、协议、 端口号等对包进行过滤
6.命令: 1)标准ACL命令: conf t access-list 表号 permit/deny 源网段或IP 反子网掩码 解释:反子网掩码:通配符,匹配使用。
如:10.1.1.0 0.255.255.255 :匹配10开头的所有数据包!
2)扩展ACL命令: conf t acc 101 permit/deny 协议名 源IP或网段 反掩码 目标IP或网段 反掩码 注释:协议名:IP/TCP/UDP/ICMP等
简写方式: 10.1.1.1 0.0.0.0 = host 10.1.1.1 0.0.0.0 255.255.255.255 = any
7.将ACL应用到接口上: int f0/0 ip access-group 表名 in/out
8.查看设备上的ACL表: show ip access-list [表号]
9.查看接口上是否应用了ACL表: show ip int f0/0
10.命名ACL: 公式: conf t 标准 扩展 ip access-list standard/extended 表名 开始从deny/permit编辑每一条 exit int f0/0 ip access-group 表名 in exit 例: 1)标准ACL: conf t access-list 1 deny host 30.1.1.1 access-list 1 deny 20.1.1.0 0.0.0.255 access-list 1 permit any int f0/0 ip access-group 1 in exit
改装后的命名ACL: conf t ip access-list standard denyshichang deny host 30.1.1.1 deny 20.1.1.0 0.0.0.255 permit any exit int f0/0 ip access-group denyshichang in
2)扩展ACL: conf t acc 100 deny tcp host 30.1.1.1 10.1.1.0 0.0.0.255 eq 23 acc 100 permit tcp host 20.1.1.1 10.1.1.0 0.0.0.255 eq 23 acc 100 permit ip any any
int f0/0 ip access-group 101 in exit
改装后的命名ACL: ip access-list extended denytelnet deny tcp host 30.1.1.1 10.1.1.0 0.0.0.255 eq 23 deny tcp host 20.1.1.1 10.1.1.0 0.0.0.255 eq 23 permit ip any any exit int f0/0 ip access-group denytelnet in exit 11.时间ACL: 可以定义一个时间段,然后将时间段作为条件应用到扩展ACL中的某一个条目上, 可实现基于时间的访问控制列表。
1)首先要在路由器上设置时钟: en clock set 12:34:00 25 september 2018 时间 日 月 年
2)定义周期性的时间段: conf t time-range 时间段的名字 periodic 星期 hh:mm to 星期 hh:mm exit
3)定义绝对性的时间段: time-range 时间段的名字 absolution start hh:mm 日 月 年 end hh:mm 日 月 年 exit
4)星期的取值: Monday Tuesday Wednesday Thursday Friday Saturday Sunday 一 二 三 四 五 六 日 daily 每天 weekdays 在平日(一至五) weekend 周末
案例一: 要求:公司所有人只能在每周1到周3可以上网。 步骤: time-range time1-3 periodic monday 0:00 to wednesday 23:59 exit
acc 100 permit ip any any time-range time1-3
int f0/0 ip access-group 100 in exit
案例二: 假设:10.1.1.0/24 --- sc部 要求:sc部只有周3-5 00:00 - 23:59能上网 除此之外sc部不能上网, 其他部门均不受时间限制。 步骤: time-range wentime periodic wednesday 0:00 to friday 23:59 exit
access-list 100 permit ip 10.1.1.0 0.0.0.255 any time-range wentime access-list 100 deny ip 10.1.1.0 0.0.0.255 any access-list 100 permit ip any any int f0/0 ip access-group 100 in exit |