一、实验拓扑。

clip_image002

二、标准ACL配置。

 
  
R2(config)#access-list 1 deny 10.1.1.0 0.0.0.255
 
  
R2(config)#access-list 1 permit any #R2只拒绝10.1.1.0网段访问
 
  
R2(config)#int s0/0
 
  
R2(config-if)#ip access-group 1 in #在接口上应用ACL
 
  
R2(config)#access-list 2 permit 172.16.3.1
 
  
R2(config)#line vty 0 4 
 
  
R2(config-line)#access-class 2 in #access-class命令只对标准ACL有效
 
  

三、扩展ACL配置。

 
  
R1#show access-lists 100
Extended IP access list 100
10 permit tcp 10.1.1.0 0.0.0.255 host 2.2.2.2 eq telnet (79 matches)
20 permit icmp 10.1.1.0 0.0.0.255 any (8 matches)
 
  

四、命名ACL配置。

 
  
R1(config)#ip access-list extended ACLname #给ACL命名

五、基于时间ACL。

 
  
R3(config)#time-range mytime #定义时间范围
 
  
R3(config-time-range)#periodic weekdays 08:00 to 18:00 #定义时间范围
 
  
R3(config)#access-list 111 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet time-range mytime #在ACL列表中调用时间范围。
 
  
R3(config)#access-list 111 permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.0 eq telnet time-range mytime
 
  
R3(config)#int e1/0
 
  
R3(config-if)#ip access-group 111 in
 
  
R3#show access-lists 
 
  
Extended IP access list 111
 
  
30 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet time-range mytime (inactive)
 
  
40 permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.0 eq telnet time-range mytime (inactive)
 
  
R3#show clock
 
  
*01:58:31.083 UTC Fri Mar 1 2002
 
  
R3#clock set 09:00:30 april 19 2012 #修改时间符合时间范围
 
  
R3#show access-lists 
 
  
Extended IP access list 111
 
  
30 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet time-range mytime (active)
 
  
40 permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.0 eq telnet time-range mytime (active)
 
  
R3#show time-range 
 
  
time-range entry: mytime (active)
 
  
periodic weekdays 8:00 to 18:00
 
  
used in: IP ACL entry
 
  
used in: IP ACL entry
 
  
 
  

六、动态ACL。

 
  
R2(config)#username liang password 123456 #配置本地用户密码
 
  
R2(config)#access-list 111 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet #打开Telnet访问权限
 
  
R2(config)#access-list 111 permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.2 eq telnet
 
  
R2(config)#access-list 111 permit eigrp any any #允许Eigrp协议
 
  
R2(config)#access-list 111 dynamic test timeout 120 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq www #定义动态ACL以及绝对超时时间
 
  
R2(config)#int s0/01
 
  
R2(config-if)#ip access-group 111 in
 
  
R2(config)#line vty 0 4
 
  
R2(config-line)#login local #VTY使用本地验证
 
  
R2(config-line)#autocommand access-enable host timeout 5 #在动态ACL中创建一个临时性的访问控制条目,定义空闲超时值
 
  
動態ACL應放在Deny條目的前面,且需放在離源最近的接口
 
  

七、自反ACL。

clip_image004

 
  
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
 
  
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
 
  
R2(config)#ip access-list extended ACLOUT
 
  
R2(config-ext-nacl)#permit tcp any any reflect liang #定義自反ACL
 
  
R2(config-ext-nacl)#permit udp any any reflect liang
 
  
R2(config-ext-nacl)#exit
 
  
R2(config)#ip access-list extended ACLIN
 
  
R2(config-ext-nacl)#evaluate liang #評估反射
 
  
R2(config-ext-nacl)#exit
 
  
R2(config)#int s0/1
 
  
R2(config-if)#ip access-group ACLOUT out
 
  
R2(config-if)#ip access-group ACLIN in
 
  
R2#show access-lists 
 
  
Extended IP access list ACLIN
 
  
10 evaluate liang
 
  
Extended IP access list ACLOUT
 
  
10 permit tcp any any reflect liang (88 matches)
 
  
20 permit udp any any reflect liang
 
  
Reflexive IP access list liang
 
  
permit tcp host 3.3.3.3 eq telnet host 192.168.12.1 eq 15020 (153 matches) (time left 294)
 
  
R1和R3均開啟Telnet,實驗結果應是R1能telnet到R3,而R3卻到不了R1。