ACL访问控制列表
1、两种类型:
标准ACL:检查源地址,通常允许或拒绝的是完整的协议。
2、两个方向:
in:进站
out:出站
扩展ACL通常应用到离源最近的端口,方向为in。
3、两个动作:
deny:拒绝
4、两种命名方式:
名称命名:
standard:
extended:
编号命名:
标准ACL:1~99
扩展ACL:100~199,2000~2699
6、执行顺序:
7、命名方式:
名称命名
然后在config-std-nacl里面定义规则
编号命名:access-list 10 deny 192.168.10.0
定义名称后跟规则
例子:
名称命名标准ACL
R2(config)#ip access-list standard A1
R2(config-std-nacl)#deny 192.168.10.0 0.0.0.255
R2(config-std-nacl)#deny 192.168.20.1 0.0.0.0
R2(config-std-nacl)#permit any
编号命名标准ACL
R2(config)#access-list 10 deny 192.168.10.0 0.0.0.255
R2(config)#access-list 10 deny host 192.168.20.1
R2(config)#access-list 10 permit any
R2(config)#int f0/0
R2(config-if)#ip acc 10 out
R1(config)#ip access-list extended A1
R1(config-ext-nacl)#deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.1 eq www
R1(config-ext-nacl)#permit ip any any
R1(config)#int f0/0
R1(config-if)#ip acc A1 in
编号方式命名拓展ACL
R1(config)#access-list 100 deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.1 eq www
R1(config)#access-list 100 permit ip any any
R1(config)#int f0/0
R1(config-if)#ip acc 100 in
首先设置路由器时间,保证时间正确才能后正常操作
例子:Clock set 14:13:00 26 july 2018
例子:
(config)#access-list 101 deny tcp any any eq www time-range deny_http
实验:
每个工作日的上班时间内不允许员工浏览网页