题目要求
扩展ACL的放置位置
扩展ACL应尽可能靠近控制流量的源,这样才能在不需要的流量流经网络之前将其过滤掉。
基于时间的ACL
基于时间的 ACL 允许根据时间执行访问控制。要使用基于时间的ACL,需要创建一时间范围,指定一周和一天内的时段。可以为时间范围命名,然后对相应功能应用此范围。时间限制会应用到该功能本身。
配置步骤
步骤1:在路由器R1的全局配置模式下输入以下代码,配置RIP。
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#network 192.168.0.0 R1(config-router)#network 10.10.10.0 R1(config-router)#no auto-summary
步骤2:在路由器R2的全局配置模式下输入以下代码,配置RIP。
R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#network 10.10.10.0 R2(config-router)#network 192.168.1.0 R2(config-router)#no auto-summary
步骤3:在路由器R2的全局配置模式下输入以下代码,配置远程登录。
R2(config)#line vty 0 4
R2(config-line)#password 123 R2(config-line)#login
R2(config-line)#enable secret 123
步骤5:在路由器R1的全局配置模式下输入以下代码,配置扩展ACL。
R1(config)#access-list 100 permit tcp 192.168.0.0 0.0.0.255 host 192.168.1.1 eq www
R1(config)#access-list 100 deny tcp192.168.0.0 0.0.0.255 host 192.168.1.1 eq ftp
R1(config)#access-list 100 deny tcp192.168.0.0 0.0.0.255 host 10.10.10.2 eq telnet
R1(config)#access-list 100 deny tcp192.168.0.0 0.0.0.255 host 192.168.1.254 eq telnet
R1(config)#access-list 100 deny icmp 192.168.0.0 0.0.0.255 host 10.10.10.2 R1(config)#access-list 100 deny icmp 192.168.0.0 0.0.0.255 host 192.168.1.254 R1(config)#access-list100 permit ip any any R1(config)#int f0/O
R1(config-if)#ip access-group 100 in
配置命令
1.配置扩展编号 ACL
Router(config)#access-list access-list-number {deny|permit|remark}
protocol source [source-wildcard ] [operator operand ][port port-number or name] destination [destination-wildcard ] [operator operand ] [port port-number or name] [established]
2、配置扩展命名ACL
Router(config)#ip access-list extended name
Router(config-std-nacl)#{deny|permit|remark} protocol source [source- wildcard ] [operator operand ] [port port-number or name] destination
[destination-wildcard ] [operator operand ] [port port-number or name] [time- range time-range-name] [established]
3.在接口应用ACL
Router(config)#interface type number
Router (config-if)# ip access-group {access-list-number |name} {in|out}
4.查看ACL
Router#show access-lists
5.查看接口的配置
Router#show ip interface
6.清除ACL的统计信息
Router#clear access-list counters [access-list-number |name)