ACL簡單配置

一、實驗拓撲。

二、標準ACL配置。

R2(config)#access-list 1 deny 10.1.1.0 0.0.0.255
R2(config)#access-list 1 permit any #R2只拒絕10.1.1.0網段訪問
R2(config)#int s0/0
R2(config-if)#ip access-group 1 in #在接口上應用ACL
R2(config)#access-list 2 permit 172.16.3.1
R2(config)#line vty 0 4 
R2(config-line)#access-class 2 in #access-class命令只對標準ACL有效

三、擴展ACL配置。

R1#show access-lists 100
Extended IP access list 100
10 permit tcp 10.1.1.0 0.0.0.255 host 2.2.2.2 eq telnet (79 matches)
20 permit icmp 10.1.1.0 0.0.0.255 any (8 matches)

四、命名ACL配置。

R1(config)#ip access-list extended ACLname #給ACL命名

五、基於時間ACL。

R3(config)#time-range mytime #定義時間範圍
R3(config-time-range)#periodic weekdays 08:00 to 18:00 #定義時間範圍
R3(config)#access-list 111 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet time-range mytime #在ACL列表中調用時間範圍。
R3(config)#access-list 111 permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.0 eq telnet time-range mytime
R3(config)#int e1/0
R3(config-if)#ip access-group 111 in
R3#show access-lists 
Extended IP access list 111
30 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet time-range mytime (inactive)
40 permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.0 eq telnet time-range mytime (inactive)
R3#show clock
*01:58:31.083 UTC Fri Mar 1 2002
R3#clock set 09:00:30 april 19 2012 #修改時間符合時間範圍
R3#show access-lists 
Extended IP access list 111
30 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet time-range mytime (active)
40 permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.0 eq telnet time-range mytime (active)
R3#show time-range 
time-range entry: mytime (active)
periodic weekdays 8:00 to 18:00
used in: IP ACL entry
used in: IP ACL entry

六、動態ACL。

R2(config)#username liang password 123456 #配置本地用戶密碼
R2(config)#access-list 111 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet #打開Telnet訪問權限
R2(config)#access-list 111 permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.2 eq telnet
R2(config)#access-list 111 permit eigrp any any #允許Eigrp協議
R2(config)#access-list 111 dynamic test timeout 120 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq www #定義動態ACL以及絕對超時時間
R2(config)#int s0/01
R2(config-if)#ip access-group 111 in
R2(config)#line vty 0 4
R2(config-line)#login local #VTY使用本地驗證
R2(config-line)#autocommand access-enable host timeout 5 #在動態ACL中創建一個臨時性的訪問控制條目，定義空閒超時值
動態ACL應放在Deny條目的前面，且需放在離源最近的接口

七、自反ACL。

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect liang #定義自反ACL
R2(config-ext-nacl)#permit udp any any reflect liang
R2(config-ext-nacl)#exit
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate liang #評估反射
R2(config-ext-nacl)#exit
R2(config)#int s0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
R2#show access-lists 
Extended IP access list ACLIN
10 evaluate liang
Extended IP access list ACLOUT
10 permit tcp any any reflect liang (88 matches)
20 permit udp any any reflect liang
Reflexive IP access list liang
permit tcp host 3.3.3.3 eq telnet host 192.168.12.1 eq 15020 (153 matches) (time left 294)
R1和R3均開啟Telnet，實驗結果應是R1能telnet到R3，而R3卻到不了R1。