高级的访问控制列表

小乔

思科知识点汇总贴
http://bbs.hh010.com/thread-529979-1-1.html
(出处: 鸿鹄论坛)


高级的访问控制列表
1.命名的访问控制列表
Router(config)#ip access-list ?
extended          Extended Access List     #扩展的访问列表
standard           Standard Access List     #标准的访问列表
Router(config)#ip access-list standard ?
<1-99>          Standard IP access-list number
WORD          Access-list name
Router(config)#ip access-list standard Sales     #创建一个标准的命名访问列表
Router(config-std-nacl)#permit 172.16.10.3 0.0.0.0
Router(config-std-nacl)#no permit 172.16.10.3 0.0.0.0     #命名访问控制列表可以直接删除列表中的某一行。
Router(config-std-nacl)#int fa0/1
Router(config-if)#ip access-group Sales out     #将访问列表应用于路由器接口
2.交换机端口访问列表
switch（config）#mac access-list extended Sales     #端口访问列表只能使用命名访问列表
switch（config-ext-macl）#permit source_mac_address destination_mac_address     #端口访问列表的语法
switch（config-ext-macl）#interface fa0/1
switch（config-if）#mac access-group Sales in     #只能应用在交换机接口的入口列表上。
3.基于时间的访问控制列表
这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效的控制网络。它需要先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。并且，对于编号访问表和名称访问表都适用。
主要步骤是：
①定义一个时间范围；
②创建一个访问列表（可以是标准的、扩展的还可以是命名访问列表）并应用上面所定义的时间；
③将这个访问列表应用于路由器接口上。
router（config）#time-range time-range-name
router（config-time-range）#absolute {start_time_date} {end_time_date}
或
router（config-time-range）#periodic {days-of-the week} hh:mm to {days-of-the week} hh:mm
time-range：用来定义时间范围的命令。
time-range-name：时间范围名称，用来标识时间范围，以便于在后面的访问列表中引用。
absolute：该命令用来指定绝对时间范围。它后面紧跟这start和 end两个关键字。在这两个关键字后面的时间要以24小时制hh:mm（小时：分钟）表示，日期要按照日/月/年来表示。可以看到，他们两个可以都省略。如果省略start及其后面的时间，那表示与之相联系的permit 或deny语句立即生效，并一直作用到end处的时间为止；若省略如果省略end及其后面的时间，那表示与之相联系的permit 或deny语句在start处表示的时间开始生效，并且永远发生作用，当然把访问列表删除了的话就不会起作用了。如下：
①absolute start 8:00 end 20:00     #表示每天的早8点到晚8点。
②absolute start 8:00 19 June 2007 end 24:00 30 June 2007 #表示从2007年6月19日8时开始到2007年6月30日24时结束。
periodic：主要是以星期为参数来定义时间范围的一个命令。它的参数可以是daily（每天）、 weekday（周一到周五）或者 weekend（周末）。也可以是由星期名称Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday中的一个或者几个的组合。如下：
periodic weekday 8:30 to 22:30     #表示每周一到周五的早8点半到晚10点半
periodic Monday 7:00 to Tuesday 20:00     #表示每周一早7点到周二的晚8点。
注：一个时间范围只能有一个absolute语句，但是可以有几个periodic语句。具体实例如下：
router（config）#time-range no-http
router（config-time-range）#periodic weekend 06：00 to 12：00
router（config-time-range）#exit
router（config）#time-range yes-tcp
router（config-time-range）#periodic weekend 06：00 to 12：00
router（config-time-range）#exit
router（config）#ip access-list extended Time
router（config-ext-nacl）#deny tcp any any eq www time-range no-http
router（config-ext-nacl）#permit tcp any any time-range yes-tcp
router（config-ext-nacl）#interface fa0/1
router（config-if）#ip access-group Time in

五、命令汇总（查看命令）
router#show access-list #显示在路由器上配置的所有访问列表及其参数。这个命令不显示那些接口配置了访问列表。
router#show access-list access_list_number               #显示具体某个访问列表的参数。这个命令不显示那些接口设置的访问列表。
router#show ip access-list     #只显示在路由器上配置的IP访问列表。
router#show ip interface     #可以显示那些接口设置了访问列表。
switch#show mac access-group          #显示所有应用在第2层接口或指定第2层接口（仅在第2层交换机使用的接口）的MAC访问列表。

q466265670

学习

768013268zxc

网络初学者，前来学习网路知识。

IT小白888

谢谢

matt6116

网络初学者，前来学习网路知识。

xpc1990

初来乍到，谢谢分享

july2321

谢谢分享

淼渺淼渺

感谢楼主分享