【每日一记2】第5天：ACL

ACL  --  Access  Control  List，访问控制列表

1.路由器上一般称为ACL，主要基于3层、4层

2.防火墙上一般称为ACL或策略，主要基于3、4、5层

3.ACL的作用：一种包过滤技术！

4.ACL的详情：

1）ACL是一张表，写完后，不生效！必须应用到接口的一个方向地才可生效！

2）应用时，in为进方向、out为出方向，进或出是站在路由器的角度。

3）一个接口的一个方向只能应用一张ACL表

4）ACL表在匹配时是严格自上而下匹配每一条！

5）在ACL表的最后隐藏着一条拒绝所有的策略！

6）一般情况下，标准或扩展ACL一旦编写完成，则不能删除某一条，

     也不能往中间插入某一条，也不能修改，只能删除整张表，重新写！

5.ACL列表有2种类型：

1）标准ACL：表号1-99，1300-1999，特点：只能基于源IP地址对包进行过滤

2）扩展ACL：表号100-199，2000-2699，特点：可以基于源IP、目标IP、协议、

                       端口号等对包进行过滤

6.命令：

1）标准ACL命令：

conf  t

access-list  表号  permit/deny  源网段或IP  反子网掩码

解释：反子网掩码：通配符，匹配使用。

如：10.1.1.0  0.255.255.255  ：匹配10开头的所有数据包！

2）扩展ACL命令：

conf  t

acc 101 permit/deny  协议名  源IP或网段 反掩码  目标IP或网段 反掩码

注释：协议名：IP/TCP/UDP/ICMP等

简写方式：

10.1.1.1  0.0.0.0   =   host   10.1.1.1

0.0.0.0  255.255.255.255   =    any

7.将ACL应用到接口上：

int  f0/0

ip  access-group   表名   in/out

8.查看设备上的ACL表：

show   ip   access-list   [表号]

9.查看接口上是否应用了ACL表：

show   ip   int   f0/0

10.命名ACL：

公式：

conf  t                            标准        扩展

ip   access-list   standard/extended   表名

开始从deny/permit编辑每一条

exit

int  f0/0

ip  access-group  表名   in

exit

例：

1）标准ACL：

conf  t       

access-list   1    deny    host   30.1.1.1

access-list   1    deny    20.1.1.0   0.0.0.255

access-list   1    permit   any

int  f0/0

ip  access-group  1  in

exit

改装后的命名ACL：

conf  t

ip   access-list   standard    denyshichang

deny   host   30.1.1.1

deny   20.1.1.0   0.0.0.255

permit   any

exit

int  f0/0

ip   access-group   denyshichang   in

2）扩展ACL：

conf   t

acc  100   deny  tcp   host  30.1.1.1   10.1.1.0   0.0.0.255   eq   23

acc  100   permit   tcp   host   20.1.1.1  10.1.1.0   0.0.0.255  eq  23

acc  100   permit   ip   any   any

int   f0/0

ip   access-group   101   in

exit

改装后的命名ACL：

ip   access-list   extended    denytelnet

deny   tcp   host   30.1.1.1   10.1.1.0   0.0.0.255   eq   23

deny   tcp   host   20.1.1.1   10.1.1.0   0.0.0.255   eq   23

permit   ip   any   any

exit

int  f0/0

ip  access-group  denytelnet   in

exit

11.时间ACL：

可以定义一个时间段，然后将时间段作为条件应用到扩展ACL中的某一个条目上，

可实现基于时间的访问控制列表。

1）首先要在路由器上设置时钟：

en

clock  set  12:34:00  25   september   2018

                     时间      日         月             年

2）定义周期性的时间段：

conf  t

time-range   时间段的名字

periodic   星期     hh:mm    to   星期      hh:mm

exit

3）定义绝对性的时间段：

time-range   时间段的名字

absolution   start   hh:mm   日   月    年    end    hh:mm   日    月    年

exit

4）星期的取值：

Monday     Tuesday    Wednesday     Thursday     Friday     Saturday    Sunday

    一               二               三                   四               五                六             日

daily   每天        weekdays       在平日（一至五）     weekend   周末

案例一：

要求：公司所有人只能在每周1到周3可以上网。

步骤：

time-range    time1-3

periodic   monday   0:00   to   wednesday    23:59

exit

acc   100  permit   ip   any   any   time-range   time1-3

int   f0/0

ip   access-group   100   in

exit

案例二：

假设：10.1.1.0/24   ---   sc部

要求：sc部只有周3-5  00:00 - 23:59能上网  除此之外sc部不能上网，

           其他部门均不受时间限制。

步骤：

time-range   wentime

periodic  wednesday  0:00  to  friday   23:59

exit

access-list   100   permit   ip   10.1.1.0   0.0.0.255   any   time-range  wentime

access-list   100   deny   ip   10.1.1.0   0.0.0.255   any

access-list   100   permit   ip   any   any

int  f0/0

ip   access-group   100   in

exit

哇，楼主是一个细心观察的人，期待楼主下次细心观察的惊喜。

来学习一波

写的好详细。

感谢分享