一、標準ACL
1、實驗要求:
允許PC0訪問Router,不允許PC1訪問Router
主要代碼
Router(config)#access-list 10 permit 192.168.1.2 255.255.255.0 //允許PC0訪問Router
Router(config)#access-list 10 deny 192.168.1.3 255.255.255.0 //拒絕PC1訪問Router
Router(config)#int fa0/0
Router(config-if)#ip access-group 10 in //將此ACL列表運用在進端口上(綁定在物理端口上)
//標準訪問控制列表編號範圍0~99,或1300-1999
實驗結果
PC0通
PC1不通
2、拒絕PC1telnet路由器,並將訪問列表綁定在telnet端口上
Router(config)#access-list 10 permit host 192.168.1.2 //單指定某一臺主機可以用host+主機IP
Router(config)#line vty 0 15
Router(config-line)#access-class 10 in //綁定在telnet端口用access-class
二、基於時間
實驗要求:
週一到週五,不允許R1使用telnet訪問R4
1、R4開啓telnet服務
測試
2、配置time-range
R3(config)#time-range week
R3(config-time-range)#periodic weekdays 9:10 to 10:00
R3(config-time-range)#ip access-list extend int
R3(config-ext-nacl)#deny tcp host 192.168.1.2 any eq 23 time-range week //拒絕telnet服務(telnet端口是23)
R3(config-ext-nacl)#permit ip any any
R3(config-ext-nacl)#exit
R3(config)#int fa0/0
R3(config-if)#ip access-group int in
也可以寫成擴展ACL
R3(config)#time-range week
R3(config-time-range)#periodic weekdays 9:10 to 10:00
R3(config)#access-list 100 deny tcp host 192.168.1.2 any eq 23 time-range week
......
(1)擴展ACL具有更多的匹配項,包括協議類型、源地址、目的地址、端口等
(2)擴展ACL編號是100~199,2000~2699
(3)端口前要加入運算符,eq等於、neq不等於、gt大與、lt小與、rang範圍
3、設置路由器時間
4、驗證