配置访问控制列表和时间范围.doc

实例：access-list 100 deny ip /24 any time-range wwwtime-range www periodic daily 08:00 to 20:00exitinterface eth0/1ip access-group 100 inexitwrite 参考：router(config-time-range)# absolute Absolute time and date exit Exit from time-range configuration mode no Negate a command or set its defaults periodic Periodic time and daterouter(config-time-range)# periodic Monday to Sunday daily Every day of the week friday Friday monday Monday saturday Saturday sunday Sunday thursday Thursday tuesday Tuesday wednesday Wednesday weekdays Monday thru Friday weekend Saturday and Sundayrouter(config-time-range)# absolute end Ending time and date start Starting time and daterouter(config-if-eth0/1)# ip access-group Access list number Access list numberrouter(config-if-eth0/1)# ip access-group 100 in Packet direction out Packet direction配置访问控制列表和时间范围42.1 访问控制列表简介访问控制列表是一个公共应用模块，它制定了访问控制权限的规则定义，为其他模块制定访问权限集合提供方便。访问控制列表由一条或多条控制子规则组成，每条控制规则由匹配规则和执行动作两部分组成，并采用先配置先匹配的匹配原则。匹配规则中包含了多种匹配元素可以是链路层、网络层、传输层信息，所以访问控制列表的控制能力非常强。执行动作就是允许和禁止。访问控制列表可分为四类：标准的访问控制列表、扩展的访问控制列表、基于以太网帧类型的访问控制列表和基于以太网MAC地址的访问控制列表。它们的命令都具有如下的基本形式：access-list access-list-num permit | deny match-condition log其中access-list-num用于标识一个访问控制列表，同时也指明了它的类型：n 标准的访问控制列表的access-list-num范围是1-99 1300-1999；n 扩展的访问控制列表的access-list-num范围是100-199 2000-2699；n 基于以太网帧类型的访问控制列表的access-list-num范围是200-299；n 基于以太网MAC地址的访问控制列表access-list-num范围是700-799；match-condition描述了适用该过滤规则的报文的特征：n 标准的访问控制列表只检查报文的源地址；n 扩展的访问控制列表可以检查报文的源目的地址、协议号、端口、dscp值和基于时间的匹配等信息；n 网桥访问控制列表可以检查以太网帧封装中的类型、SAP字段、源MAC地址信息。permit和deny指明对匹配match-condition后采取的动作：n permit表示允许访问；n deny表示禁止访问。log表示是否对匹配过程做log日志。42.2 时间范围（time-range）简介时间范围也是一个公共模块，用于功能模块的时效控制。42.3 配置访问控制列表42.3.1 配置标准的访问控制列表标准的访问控制列表只检查报文的源地址，它的access-list-number范围是1-99 1300-1999。配置标准的访问控制列表步骤1access-list access-list-num ber permit | deny A.B.C.D/M | any log配置标准访问控制列表使用no access-list access-list-num就可以删除这条access-list。配置多个acl子句时一定要根据先配置先匹配的原则合理的配置规则；42.3.2 配置扩展的访问控制列表扩展的访问控制列表匹配元素很多，包括网络层、传输层，同时还可以制定规则应用时间域，它的access-list-number范围是100-199 2000-2699。匹配元素match-condition部分的语法随具体协议而略有不同，某些协议可以指定一个协议相关的匹配选项以实现更为精确的匹配。不针对特定协议的扩展访问控制列表的match-condition如下：protocol A.B.C.D/M | any A.B.C.D/M | any precedence precedence-value tos tos-value | dscp dscp-valuetime-range time-range-name其中protocol指明匹配报文的协议号0-255，以下为协议的助记缩写：icmp ICMP protocoludp UDP protocoltcp TCP protocolahp Authentication Header protocoleigrp Ciscos EIGRP routing protocol compatibleesp Encapsulation Securoty payloadgre GRE tunneligmp Internet Group Management protocoligrp Ciscos IGRP routing protocol compatibleip Any Internet protocolipip Ip in ip tunnelospf OSPF routing protocolpim Protocol independent multicastraw raw ip packetA.B.C.D/M | any前一个用于指明匹配报文的源地址，后一个指明目的地址；precedence precedence-value指明匹配IP报文的precedence字段的取值；tos tos-value指明匹配IP报文的type of service字段的取值；dscp dscp-value指明匹配IP报文的dscp字段（TOS中的6位）的取值，可以是0-63，也可以是af11等常用的字段。time-range time-range-name关键字添加在每条扩展控制列表的最后，用于基于时间的访问控制。通过加入有效的时间范围来更合理有效的控制网络。它需要先定义一个时间范围，然后在原来的访问列表的基础上应用它。当协议号为tcp或udp时可以指明源/目的端口srcport/destport，相应的添在源和目的地址之后，具体格式如下： lt port-number | le port-number | eq port-number| ge port-number | gt port-number | neq port-number | range port-number1 port-number2lt表示小于；le表示小等于；eq表示等于；ge表示大等于；gt表示大于；neq表示不等于；range表示位于某范围之间，包括起点和终点；port-number表示端口号，范围是1-65535。established关键字可添加在目的端口之后，表示匹配的报文不能是一个发起连接请求的报文，可用于协议号为tcp的扩展访问控制列表。协议号为icmp的扩展访问控制列表可在目的地址之后添加如下扩展选项：icmp-type icmp-code其中icmp-type表示匹配ICMP报文的icmp类型号；icmp-code表示匹配ICMP报文的icmp代码；配置扩展的访问控制列表步骤1access-list access-list-number permit | deny protocol A.B.C.D/M | any A.B.C.D/M | any precedence precedence-value tos tos-value | dscp dscp-value logtime-range time-range-name配置一般的扩展访问控制列表步骤2access-list access-list-number permit | deny tcp A.B.C.D/M | any srcport A.B.C.D/M | any destport established precedence precedence-value tos 0-31 | dscp dscp-value log time-range time-range-name配置tcp协议的扩展访问控制列表步骤3Access-list access-list-num permit | deny udp A.B.C.D/M | any srcport A.B.C.D/M | any destport precedence precedence-value tos tos-value | dscp dscp-value log time-range time-range-name配置udp协议的扩展访问控制列表步骤4access-list access-list-num permit | deny icmp A.B.C.D/M | any A.B.C.D/M | any precedence precedence-value tos tos-value | dscp dscp-value icmp-type icmp-code log time-range time-range-name配置icmp协议的扩展访问控制列表步骤5time-range time-rnage-name配置扩展访问控制列表的应用时间范围TIME-RNAGE-NAME步骤6absolute start hh:mm date month year end hh:mm date month year配置time-range起作用的一段绝对时间步骤7periodic days-of-the-week hh:mm to days-of-the-week hh:mm配置time-range起作用的一段周期性的时间（每周的）步骤8show access-list access-list-number显示一个或所有的访问控制表的内容步骤9show time-range time-range-name显示时间范围的内容使用no access-list access-list-num就可以删除这条access-list。配置多个acl子句时一定要根据先配置先匹配的原则合理的配置规则；42.3.3 配置网桥访问控制列表网桥访问控制列表可以分为两类：基于以太网帧协议类型的访问控制列表，它的access-list-number范围是200-299；基于以太网源MAC的访问控制列表，它的access-list-number范围是700-799；通过定义并应用网桥访问控制列表规则，可以实现对以太网帧和/或802.3LAN帧的过滤；配置网桥访问控制列表步骤1access-list access-list-number permit | deny type-code type-wildcard配置一个基于协议类型的网桥访问控制列表步骤2access-list access-list-number permit | deny mac-address mac-wildcard 配置一个基于MAC的网桥访问控制列表使用no access-list access-list-num就可以删除这条access-list。配置多个acl子句时一定要根据先配置先匹配的原则合理的配置规则；42.4 监控与维护42.4.1 显示所有的访问控制列表显示所有的访问控制列表的步骤：步骤1显示所有的访问控制列表Router# show access-listsStandard IP access-list 1 permit /24Type code access-list 200 permit 0xfff0 0xfff0Bridge address access-list 700 permit 00:00:00:00:01:23 ff:ff:ff:ff:ff:00Extented IP access-list 100 permit tcp /24 eq 100 /24 eq 1000 established dscp default log time-range morning permit tcp /24 eq 100 /24 eq 1000 established dscp default log time-range noonpermit tcp /24 eq 100 /24 eq 1000 established dscp default log time-range night42.4.2 显示标准的访问控制列表显示标准的访问控制列表的步骤：步骤1显示标准的访问控制列表Router# show access-lists 1Standard IP access-list 1permit /2442.4.3 显示基于以太网帧类型的访问控制列表显示基于以太网帧类型的访问控制列表的步骤：步骤1显示基于以太网帧类型的访问控制列表Router# show access-lists 200Type code access-list 200permit 0xfff0 0xfff042.4.4 显示基于MAC的网访问控制列表显示基于MAC的网访问控制列表的步骤：步骤1显示基于MAC的网访问控制列表Router# show access-lists 700Bridge address access-l