配置访问控制列表和时间范围.docx
- 文档编号:6609889
- 上传时间:2023-05-10
- 格式:DOCX
- 页数:9
- 大小:20.12KB
配置访问控制列表和时间范围.docx
《配置访问控制列表和时间范围.docx》由会员分享,可在线阅读,更多相关《配置访问控制列表和时间范围.docx(9页珍藏版)》请在冰点文库上搜索。
配置访问控制列表和时间范围
实例:
access-list100denyip10.1.1.0/24anytime-rangewww
time-rangewww
periodicdaily08:
00to20:
00
exit
interfaceeth0/1
ipaccess-group100in
exit
write
参考:
router(config-time-range)#
absoluteAbsolutetimeanddate
exitExitfromtime-rangeconfigurationmode
noNegateacommandorsetitsdefaults
periodicPeriodictimeanddate
router(config-time-range)#periodic
<1-7>MondaytoSunday
dailyEverydayoftheweek
fridayFriday
mondayMonday
saturdaySaturday
sundaySunday
thursdayThursday
tuesdayTuesday
wednesdayWednesday
weekdaysMondaythruFriday
weekendSaturdayandSunday
router(config-time-range)#absolute
endEndingtimeanddate
startStartingtimeanddate
router(config-if-eth0/1)#ipaccess-group
<1-199>Accesslistnumber
<1300-2699>Accesslistnumber
router(config-if-eth0/1)#ipaccess-group100
inPacketdirection
outPacketdirection
配置访问控制列表和时间范围
42.1访问控制列表简介
访问控制列表是一个公共应用模块,它制定了访问控制权限的规则定义,为其他模块制定访问权限集合提供方便。
访问控制列表由一条或多条控制子规则组成,每条控制规则由匹配规则和执行动作两部分组成,并采用先配置先匹配的匹配原则。
匹配规则中包含了多种匹配元素可以是链路层、网络层、传输层信息,所以访问控制列表的控制能力非常强。
执行动作就是允许和禁止。
访问控制列表可分为四类:
标准的访问控制列表、扩展的访问控制列表、基于以太网帧类型的访问控制列表和基于以太网MAC地址的访问控制列表。
它们的命令都具有如下的基本形式:
access-listaccess-list-num{permit|deny}match-condition[log]
其中access-list-num用于标识一个访问控制列表,同时也指明了它的类型:
⏹标准的访问控制列表的access-list-num范围是1-991300-1999;
⏹扩展的访问控制列表的access-list-num范围是100-1992000-2699;
⏹基于以太网帧类型的访问控制列表的access-list-num范围是200-299;
⏹基于以太网MAC地址的访问控制列表access-list-num范围是700-799;
match-condition描述了适用该过滤规则的报文的特征:
⏹标准的访问控制列表只检查报文的源地址;
⏹扩展的访问控制列表可以检查报文的源目的地址、协议号、端口、dscp值和基于时间的匹配等信息;
⏹网桥访问控制列表可以检查以太网帧封装中的类型、SAP字段、源MAC地址信息。
permit和deny指明对匹配match-condition后采取的动作:
⏹permit表示允许访问;
⏹deny表示禁止访问。
log表示是否对匹配过程做log日志。
42.2时间范围(time-range)简介
时间范围也是一个公共模块,用于功能模块的时效控制。
42.3配置访问控制列表
42.3.1配置标准的访问控制列表
标准的访问控制列表只检查报文的源地址,它的access-list-number范围是1-991300-1999。
配置标准的访问控制列表
步骤1
access-listaccess-list-number{permit|deny}{A.B.C.D/M|any}[log]
配置标准访问控制列表
使用noaccess-listaccess-list-num就可以删除这条access-list。
配置多个acl子句时一定要根据先配置先匹配的原则合理的配置规则;
42.3.2配置扩展的访问控制列表
扩展的访问控制列表匹配元素很多,包括网络层、传输层,同时还可以制定规则应用时间域,它的access-list-number范围是100-1992000-2699。
匹配元素match-condition部分的语法随具体协议而略有不同,某些协议可以指定一个协议相关的匹配选项以实现更为精确的匹配。
不针对特定协议的扩展访问控制列表的match-condition如下:
protocol{A.B.C.D/M|any}{A.B.C.D/M|any}[{{[precedenceprecedence-value][tostos-value]}|dscpdscp-value}][time-rangetime-range-name]
其中protocol指明匹配报文的协议号0-255,以下为协议的助记缩写:
icmpICMPprotocol
udpUDPprotocol
tcpTCPprotocol
ahpAuthenticationHeaderprotocol
eigrpCisco'sEIGRProutingprotocolcompatible
espEncapsulationSecurotypayload
greGREtunnel
igmpInternetGroupManagementprotocol
igrpCisco'sIGRProutingprotocolcompatible
ipAnyInternetprotocol
ipipIpiniptunnel
ospfOSPFroutingprotocol
pimProtocolindependentmulticast
rawrawippacket
{A.B.C.D/M|any}前一个用于指明匹配报文的源地址,后一个指明目的地址;
precedenceprecedence-value指明匹配IP报文的precedence字段的取值;
tostos-value指明匹配IP报文的typeofservice字段的取值;
dscpdscp-value指明匹配IP报文的dscp字段(TOS中的6位)的取值,可以是0-63,也可以是af11等常用的字段。
[time-rangetime-range-name]关键字添加在每条扩展控制列表的最后,用于基于时间的访问控制。
通过加入有效的时间范围来更合理有效的控制网络。
它需要先定义一个时间范围,然后在原来的访问列表的基础上应用它。
当协议号为tcp或udp时可以指明源/目的端口srcport/destport,相应的添在源和目的地址之后,具体格式如下:
{ltport-number|leport-number|eqport-number|geport-number|gtport-number|neqport-number|rangeport-number1port-number2}
lt表示小于;
le表示小等于;
eq表示等于;
ge表示大等于;
gt表示大于;
neq表示不等于;
range表示位于某范围之间,包括起点和终点;
port-number表示端口号,范围是1-65535。
[established]关键字可添加在目的端口之后,表示匹配的报文不能是一个发起连接请求的报文,可用于协议号为tcp的扩展访问控制列表。
协议号为icmp的扩展访问控制列表可在目的地址之后添加如下扩展选项:
[icmp-type[icmp-code]]
其中icmp-type表示匹配ICMP报文的icmp类型号;
icmp-code表示匹配ICMP报文的icmp代码;
配置扩展的访问控制列表
步骤1
access-listaccess-list-number{permit|deny}protocol{A.B.C.D/M|any}{A.B.C.D/M|any}[{{[precedenceprecedence-value][tostos-value]}|dscpdscp-value}][log][time-rangetime-range-name]
配置一般的扩展访问控制列表
步骤2
access-listaccess-list-number{permit|deny}tcp{A.B.C.D/M|any}[srcport]{A.B.C.D/M|any}[destport][established][{{[precedenceprecedence-value][tos0-31]}|dscpdscp-value}][log][time-rangetime-range-name]
配置tcp协议的扩展访问控制列表
步骤3
Access-listaccess-list-num{permit|deny}udp{A.B.C.D/M|any}[srcport]{A.B.C.D/M|any}[destport][{{[precedenceprecedence-value][tostos-value]}|dscpdscp-value}][log][time-rangetime-range-name]
配置udp协议的扩展访问控制列表
步骤4
access-listaccess-list-num{permit|deny}icmp{A.B.C.D/M|any}{A.B.C.D/M|any}[{{[precedenceprecedence-value][tostos-value]}|dscpdscp-value}][icmp-type[icmp-code]][log][time-rangetime-range-name]
配置icmp协议的扩展访问控制列表
步骤5
time-rangetime-rnage-name
配置扩展访问控制列表的应用时间范围TIME-RNAGE-NAME
步骤6
absolute[starthh:
mmdatemonthyear][endhh:
mmdatemonthyear]
配置time-range起作用的一段绝对时间
步骤7
periodicdays-of-the-weekhh:
mmto[days-of-the-week]hh:
mm
配置time-range起作用的一段周期性的时间(每周的)
步骤8
showaccess-list[access-list-number]
显示一个或所有的访问控制表的内容
步骤9
showtime-range[time-range-name]
显示时间范围的内容
使用noaccess-listaccess-list-num就可以删除这条access-list。
配置多个acl子句时一定要根据先配置先匹配的原则合理的配置规则;
42.3.3配置网桥访问控制列表
网桥访问控制列表可以分为两类:
基于以太网帧协议类型的访问控制列表,它的access-list-number范围是200-299;基于以太网源MAC的访问控制列表,它的access-list-number范围是700-799;
通过定义并应用网桥访问控制列表规则,可以实现对以太网帧和/或802.3LAN帧的过滤;
配置网桥访问控制列表
步骤1
access-listaccess-list-number{permit|deny}type-codetype-wildcard
配置一个基于协议类型的网桥访问控制列表
步骤2
access-listaccess-list-number{permit|deny}mac-addressmac-wildcard
配置一个基于MAC的网桥访问控制列表
使用noaccess-listaccess-list-num就可以删除这条access-list。
配置多个acl子句时一定要根据先配置先匹配的原则合理的配置规则;
42.4监控与维护
42.4.1显示所有的访问控制列表
显示所有的访问控制列表的步骤:
步骤1
显示所有的访问控制列表
Router#showaccess-lists
StandardIPaccess-list1
permit2.2.2.0/24
Typecodeaccess-list200
permit0xfff00xfff0
Bridgeaddressaccess-list700
permit00:
00:
00:
00:
01:
23ff:
ff:
ff:
ff:
ff:
00
ExtentedIPaccess-list100
permittcp1.1.1.0/24eq1002.2.2.0/24eq1000establisheddscpdefaultlogtime-rangemorning
permittcp1.1.1.0/24eq1002.2.2.0/24eq1000establisheddscpdefaultlogtime-rangenoon
permittcp1.1.1.0/24eq1002.2.2.0/24eq1000establisheddscpdefaultlogtime-rangenight
42.4.2显示标准的访问控制列表
显示标准的访问控制列表的步骤:
步骤1
显示标准的访问控制列表
Router#showaccess-lists1
StandardIPaccess-list1
permit2.2.2.0/24
42.4.3显示基于以太网帧类型的访问控制列表
显示基于以太网帧类型的访问控制列表的步骤:
步骤1
显示基于以太网帧类型的访问控制列表
Router#showaccess-lists200
Typecodeaccess-list200
permit0xfff00xfff0
42.4.4显示基于MAC的网访问控制列表
显示基于MAC的网访问控制列表的步骤:
步骤1
显示基于MAC的网访问控制列表
Router#showaccess-lists700
Bridgeaddressaccess-list700
permit00:
00:
00:
00:
01:
23ff:
ff:
ff:
ff:
ff:
00
42.4.5显示扩展的访问控制列表
显示扩展的访问控制列表的步骤:
步骤1
显示扩展的访问控制列表
Router#showaccess-lists100
ExtendedIPaccess-list100
permittcp1.1.1.0/24eq1002.2.2.0/24eq1000establisheddscpdefaultlogtime-rangemorning
permittcp1.1.1.0/24eq1002.2.2.0/24eq1000establisheddscpdefaultlogtime-rangenoon
permittcp1.1.1.0/24eq1002.2.2.0/24eq1000establisheddscpdefaultlogtime-rangenight
42.4.6显示访问控制列表的日志信息
访问控制列表的日志信息级别为info级。
显示访问控制列表的日志信息的步骤:
步骤1
在控制台上显示访问控制列表的日志信息
Router(config)#loggingmoduleacl
Router(config)#loggingconsoleinformational
%ACL-6-INFO:
SRC=10.23.9.22DST=10.23.9.147LEN=60
TOS=0x00PREC=0x00TTL=128ID=16835
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 配置 访问 控制 列表 时间 范围