一、acl在应用时遵循的规则:
1.按顺序比较列表的每一行
2.按顺序比较acl的各行,直到找到匹配的一行,一旦数据包匹配上acl的某一
行,将遵照规定行事,不在进行后续比较(意味著列表应按使用频率来排列)
3. 在每个acl的最后一行隐含了“deny”语句。
4.把acl应用到端口的命令:
a.r1#ip access-group 10 in
b.r1#access-list 10 in(在vty模式下的acl应用默认就只针对telnet)
二、acl的两大类型:
1.standard acl:只使用源ip地址作为条件(放在离目的的最近的接口out)
r1#access-list 10 deny 192.168.0.128 0.0.0.127
注:每个块的大小必须从0或一个快大小的倍数开始
2.extend acl:条件可以是3层的协议、4层的端口号以及源、目标ip地址(放在
离源地址最近的接口in)
3.domain acl:以上两种的不同表示,但功能是一样的
注:每接口、每协议、每方向只能分配一个acl
只有domain acl可以从列表中删除一行或者在列表中插入一行
三、acl的各种应用:
1、交换机端口acl:只支持第2层物理层接口,并且只能把它们应用在接口的
入口列表上,只能使用命名访问控制列表
2、acl可用于虚拟局域网的流量控制,这需要acl应用到中继端口
3、对于基于ip和mac的acl,单独的接口上,只能应用其中的一个,后者会覆
盖前者
eg:s1#mac access-list extended blocksales
s1#deny any host 000d.29bd.4b85
s1#permit any any
s1#interface fa 0/1
s1#mac access-group blocksales in
4、锁和钥匙(动态acl)?
5、自反acl?
6、基于时间的acl:
eg:r1#time-range worktime
r1#periodic weekend 09:00 to 18:00
r1#exit
r1#time-range freetime
r1#periodic weekend 18:00 to 22:00
r1#exit
r1#ip access-list extended time
r1#deny tcp any any eq www time-range worktime
r1#permit tcp any any time-range freetime
r1#interface fa0/0
r1#ip access-group time in
r1#exit
注释:r1#ip access-list extended time
r1#remark leash the action of internet on worktime
r1#deny tcp any any eq www time-range worktime
午夜游