目录
高级的ACL和基于时的ACL基本的知识
1.高级ACL定义:高级ACL是由一条或多条规则组成的集合,这些规则描述了报文匹配条件的判断语句,如源地址、目的地址、端口号等。
基于时间的ACL定义:基于时间的ACL由两部分组成,一部分是用time-range命令来指定时间范围的名称,然后用absolute或periodic命令来具体定义时间范围;另一部分是用扩展访问控制列表定义规则。
2.高级ACL基本原理:高级ACL通过将报文与ACL规则进行匹配来过滤出特定的报文,并根据规则定义的动作(允许或拒绝)进行处理。
基于时间基本原理:通过定义时间段,如工作日的某个固定时段,再结合扩展访问控制列表中的规则,设备可以对特定时间段内的报文进行过滤,实现基于时间的流量控制。
3.高级ACL匹配机制:设备将报文与ACL规则匹配时,遵循“一旦命中即停止匹配”的原则,即当一条规则匹配了报文时,后续的规则不再进行匹配。
基于时间的ACL匹配机制:当报文与ACL规则匹配时,如果当前时间在定义的时间范围内,则根据规则的动作(允许或拒绝)进行处理。
4高级ACL的编号范围:高级ACL的编号范围通常在3000到3999之间。
5.高级ACL的应用场景:高级ACL适用于需要复杂规则的场合,如允许或拒绝特定的服务(例如FTP、HTTP)或特定的行为(例如ICMP ping操作)。
基于时间的ACL:例如,一些公司要求员工在上班时间内不能使用迅雷、百度云等下载软件,也不能浏览游戏、娱乐、视频等网站,这时可以使用基于时间的ACL来实现这些需求。
高级ACL
实验目的:
- 掌握高级ACL的配置方法
- PC1不能访问PC2
实验步骤:
路由器配置IP的地址
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname R1
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.10.254 24
[R1-GigabitEthernet0/0/0]undo shutdown
[R1-GigabitEthernet0/0/0]quit
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.110.254 24
[R1-GigabitEthernet0/0/1]undo shutdown
[R1-GigabitEthernet0/0/1]quit
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.20.254 24
[R1-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R1-GigabitEthernet0/0/1]quit
测试一下PC1是否可以访问PC2
配置高级ACL
[R1]acl 3000 //创建ACL,编号为3000
[R1-acl-adv-3000]rule 10 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 //拒绝192.168.10.0网段访问192.168.20.0网段
[R1-acl-adv-3000]quit
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 //当匹配到ACL3000流量是,执行相应的过滤动作
[R1-GigabitEthernet0/0/0]quit
测试一下是否可以访问
为了减少带宽的浪费,在路由器上进行配置
[R1]acl 3001
[R1-acl-adv-3000]rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[R1-acl-adv-3000]quit
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3001
[R1-GigabitEthernet0/0/1]quit
[R1]
PC2访问PC1的流量到达了PC1,PC1的回应包到达了R1G0/0/0接口,然后丢弃 这样会浪费带宽,所以要加上ACL3001,这样PC2访问PC1的流量时,在R1的G0/0/1接口上丢弃。
基于时间的ACL
实验目的:
- 掌握基于时间ACL的配置方法
- PC1所在的网段早上8:00至晚上8:00可以访问R2
实验步骤:
拓扑图
配置IP
配置R1和R2
配置基于时间的ACL
因为路由器的时间是2024年06月19日晚上22:07:37,所以不可以访问
修改R1的时间,就可以访问
<R1>clock datetime 12:00:00 2024-06-19
PC1可以访问PC2了,因为2024年06月19日在time-range在范围内。