第九章·扩展访问控制列表

xunle

扩展访问控制列表是对标准访问控制列表的一种补充。具体表现为控制更为精确，可限制服务，而标准则只能限制某主机或整个网段。

要点：
1、 控制访问控制列表的 IP ACL 号范围是 100—199
2、 可以控制源IP 、目的 IP 、源端口、目的端口等。
3、 扩展访问控制列表应设在源端，以减低开销。
4、 了解各大服务的所用协议类型（如： FTP、telnet、www 用的是 TCP协议/dhcp 用的是UDP协议等）


配置命令：
一、基于数字的扩展访问控制列表

二、基于命名的扩展访问控制列表

  

三、基于时间的访问列表（模拟器无法实现）
与扩展访问控制列表没啥区别，就是在eq 80 后加上 time-range xxx   //定义的时间范围,xxx是名称
Time-range 20 定义一个时间范围，取名为20
Periodic Monday 8:00 to 11:00 //周期性重复，这里周期重复周一的8:00 到 11:00 ，还有绝对时间的设置，也就是使用一次的，列如：absolute start 8:00 21 dec 1998 end 8:00 31 feb 2020
Ip access-list extended 101   //创建并进入扩展访问控制列表 101
Deny ip 10.1.0.0 0.0.0.255 any time-range 20 //在time-range 20 时间范围之内拒绝 10.1.0.0 网段访问任何。

time-range hhj：定义一个新的时间范围，hhj是为该时间范围取的一个名字。
absolute：为绝对时间,只使用一次。可定义1990-2050年内的任意一个时点。
Periodic：为周期性重复使用的时间范围的定义。完整格式为periodic 日期关键字 开始时间结束时间。

特别注意的是控制访问控制列表也好，标准访问控制列表也好，有涉及到拒绝或者允许网段属于VLAN里的，要把ACL应用于VLAN中，并且in和out方面有些不同，可想象为多了一张网卡，原本的in变成了out   原本的out 变成了in 。

这都是CSICO模拟器结论
锐捷设备在VLAN里没这类问题，比如ACL禁止1.0访问2.0，那么就在对应VLAN下，应用到IN端，不让数据包进来就可以了。

注：因学识有限，难免有疏漏之处，欢迎广大网友批评指正！

sunfull

内练一口气，外练一口屁。

x625802392

路过，支持一下啦

hyzqb

我是个凑数的。。。

378

沒有激情的亲吻，哪來床上的翻滾？

阿尔哦覅和

roger2001c

有道理。。。