ACL(访问控制列表)配置命令

文章目录

Time Range

设置一个时间区域:time-range %_name

  • 设置绝对时间范围:(time-range) absolute start %_time_data end %_time_data

  • 设置周期时间区域:(time-range) periodic %start_day_of_week %start_time to %end_day_of_week %end_time

对同一time-range,absolute只能有一个,periodic可以有多个,其匹配逻辑如下:

(and (in-absolute? now-time) 
     (or (in-periodic1? now-time) 
         (in-periodic2? now-time)
         (in-periodic3? now-time)
         ...))

其中%time_data=%time %day %month %year

ACL

标准acl: ip access-list standard {%acl_num | %acl_name}

  • 配置其ACE条目:(standard-acl) [sn] {permit | deny} %src %_wildcard [time-range %_name]

扩展acl: ip access-list extended {%acl_num | %acl_name}

  • 配置其ACE条目:(extended-acl) [sn] {permit | deny} %protocol %src %src_wildcard %dst %dst_wildcard [time-range %_name]

  • 配置udp和tcp的ACE条目:(extended-acl) [sn] {permit | deny} {udp | tcp} %src %src_wildcard [%operator %src_port] %dst %dst_wildcard [%operator %dst_port] [time-range %_name]

其中%operator{\in\{gt,lt,eq,neq,range}\}

根据sn从小到大顺序匹配,匹配一旦成功就停止匹配,执行那条ACE定义的动作,在最后默认有一条deny条目匹配所有数据包

对于某一条ACE其匹配逻辑如下:

(and (same-protocol? (protocol packet))
     (in-src? (src packet))
     (in-dst? (dst packet))
     (in-time-range? now-time))

用某ACL过滤某接口**{接收 | 发送}**的报文: (if) ip access-group {%acl_num | %acl_name} {in | out}

发布了4 篇原创文章 · 获赞 0 · 访问量 4755
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 编程工作室 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览