ACL的时间问题:
如果规定只有8:00~18:00 才可以访问,则
ti work
per weekda 00:00~开始的时间点-1分钟
per weekda 结束的时间点-1分钟~23:59
ip acc ex 120
den ip 要限制的网段 an ti work
per ip an an
例子:
配置ACL实现所有上网用户只有上班时间(周一至周五的9:00-18:00)才可以允许访问互联网,其它地址无限制;
|
hostname RSR-20-B
ip access-list extended 100
10 deny ip 172.16.20.0 0.0.0.255 any time-range work
20 deny ip 192.168.102.0 0.0.0.255 any time-range work
30 permit ip any any
time-range work
periodic Weekdays 0:00 to 8:59
periodic Weekdays 17:59 to 23:59
interface Serial 2/0
ip access-group 100 in
ip address 11.1.1.1 255.255.255.0
interface FastEthernet 0/1
ip access-group 100 in
ip address 10.1.1.1 255.255.255.0
测试:
RSR-20-B#
08:10:59 UTC Mon, Feb 18, 2013
只允许VLAN10、VLAN20、VLAN30的用户在上班的时间(9:00~18:00)访问DC、DNS、DHCP服务器,其它时间不允许访问。而VLAN40不受任何限制。
不允许VLAN10与VLAN20互相访问,其它不受限制。
对于上网用户和无线用户配置基于硬件的ARP防护功能,并能够
防止网络内的非法DHCP服务器。
|
time-range work
periodic Weekdays 0:00 to 8:59
periodic Weekdays 17:59 to 23:59
ip access-list extended 120
10 deny ip 172.16.10.0 0.0.0.255 172.16.20.0 0.0.0.255
20 deny ip 172.16.10.0 0.0.0.255 host 172.16.50.10 time-range work
30 deny ip 172.16.20.0 0.0.0.255 host 172.16.50.10 time-range work
40 deny ip 172.16.30.0 0.0.0.255 host 172.16.50.10 time-range work
50 permit ip any any
interface VLAN 10
ip access-group 120 in
ip address 172.16.10.3 255.255.255.0
interface VLAN 20
ip access-group 120 in
ip address 172.16.20.3 255.255.255.0
interface VLAN 30
ip access-group 120 in
ip address 172.16.30.3 255.255.255.0
测试:
S3760-B#
07:56:01 UTC Tue, Feb 19, 2013
例子:
测试:
在RA上配置ACL限制允许VLAN10在每个工作日的18:00~22:00本网段访问FTP服务器的数据流可以通过,其余时间不可以访问。(15分)
time-range work
periodic Weekdays 0:00 to 17:59
periodic Weekdays 21:59 to 23:59
ip access-list extended 100
25 deny tcp 10.10.1.0 0.0.0.255 any eq ftp-data time-range work
26 deny tcp 10.10.1.0 0.0.0.255 any eq ftp time-range work
30 permit ip any any
interface Serial 2/0
ip access-group 100 in
ip address 172.16.1.1 255.255.255.252
interface FastEthernet 0/1
ip access-group 100 in
ip address 172.16.2.1 255.255.255.252
ra#
16:21:47 UTC Tue, Feb 26, 2013
ra#sh clo
16:21:50 UTC Sun, Feb 26, 2012
注意:改时间后,要重启设备,否则ACL不生效,出现如下提示:
*Feb 18 17:30:20: %ACL-6-ENTRY: Fails to add or del entry
*Feb 18 17:30:20: %ACL-6-ENTRY: Fails to add or del entry
*Feb 18 17:30:20: %ACL-6-ENTRY: Fails to add or del entry
注:IP标准访问列表在目的目标用OUT,IP扩展访问列表在源目标用IN。
*Feb 18 17:30:20: %ACL-6-ENTRY: Fails to add or del entry
*Feb 18 17:30:20: %ACL-6-ENTRY: Fails to add or del entry
*Feb 18 17:30:20: %ACL-6-ENTRY: Fails to add or del entry
注:IP标准访问列表在目的目标用OUT,IP扩展访问列表在源目标用IN。
access-list中in 和out的含义
in和out是相对的,比如:
A(s0)——(s0)B(s1)——(s1)C
假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:
B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)
现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种办法:
1.在你家客厅(B)前门(B的s0)安个铁门(ACL),不让小偷进来(in),这样可以达到目的
2.在你家客厅后门安个铁门(B的s1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(C)
虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,实际上最好的办法,就是选办法1,就像虽然小偷没进到金库,至少进到你家客厅(B),把你客厅的地毯给搞脏了(B要消耗些额外的不必要的处理)
A(s0)——(s0)B(s1)——(s1)C
假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:
B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)
现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种办法:
1.在你家客厅(B)前门(B的s0)安个铁门(ACL),不让小偷进来(in),这样可以达到目的
2.在你家客厅后门安个铁门(B的s1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(C)
虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,实际上最好的办法,就是选办法1,就像虽然小偷没进到金库,至少进到你家客厅(B),把你客厅的地毯给搞脏了(B要消耗些额外的不必要的处理)
PC1-----E0/1--ROUTER1--S0/1- - - - - -S0/1--ROUTER2--E0/1---PC2(FTP SERVER)
access-list 110 deny tcp any host 192.168.0.20 eq ftp log
access-list 110 permit ip any any
(其中192。168。0。20为ftp server地址)
我把ip access-group 110 放在不同的地方不同的方向,结合昨天各位兄弟的指点,终于搞懂了,以下是我的实验结果,希望能给跟我有一样疑问的兄弟点帮助:
放置ACL的路由器 端口 方向 FTP数据包是否通过ACL
ROUTER2 E0/1 IN YES
ROUTER2 E0/1 OUT NO
ROUTER2 S0/1 IN NO
ROUTER2 S0/1 OUT YES
ROUTER1 E0/1 IN NO
ROUTER1 E0/1 OUT YES
ROUTER1 S0/1 IN YES
ROUTER1 S0/1 OUT NO
关于在vlan的接口上使用ACL配置的方向问题,在几个专业论坛里面看到经常有人提起。在这里我总结一下。还是举例说明吧。
1,拓扑图如:
Host_A(1.1.1.1) <------> (1.1.1.2)E1:SW:E2(2.2.2.2) <------> (2.2.2.1)Host_B
需求(由于是说明ACL放置接口的方向问题,所以需求简单一点):
只允许Host_A访问Host_B,其他访问Host_B的拒绝。
所以在SW上面可以配置如下:
ip access-list extended to_host_b
permit ip host 1.1.1.1 host 2.2.2.1
int e2
ip access-group to_host_b out
这里可以明显的看出方向使用out方向,我知道ACL用在硬接口上面大家都很容易理解,一般都不会弄错。下面说明怎么理解ACL配置在vlan接口上。
2,拓扑图如:
Host_A(1.1.1.1) <------> (1.1.1.2)vlan1:SW:vlan2(2.2.2.2) <------> (2.2.2.1)Host_B
需求(由于是说明ACL放置接口的方向问题,所以需求简单一点):
只允许Host_A访问Host_B,其他访问Host_B的拒绝。
所以在SW上面可以配置如下:
ip access-list extended to_host_b
permit ip host 1.1.1.1 host 2.2.2.1
int vlan2
ip access-group to_host_b out
依然是out方向,其实很简单,大家只要将vlan的虚接口看作是硬接口就行了,不要想得太复杂。但是如果要放在vlan1的IN方向,ACL该怎么写呢?可以如下:
需求(由于是说明ACL放置接口的方向问题,所以需求简单一点):
只允许Host_A访问Host_B,其他访问Host_B的拒绝。
所以在SW上面可以配置如下:
ip access-list extended to_host_b
permit ip host 1.1.1.1 host 2.2.2.1
deny ip any host 2.2.2.1
per ip any any
int vlan 1
ip access-group to_host_b in
其实很简单,有一个规律可以增加些理解:
针对某个vlan接口应用acl的方向问题,大家可以看看acl的源和目标地址段。当源地址段为应用vlan接口的ip段时,就是用in方向;当目的地址段为应用vlan接口的ip段时,就是用out方向。反正有一点需要注意,应用在vlan的ACL为out方向时,其目的地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话是匹配不上的;应用在vlan的ACL为in方向时,其源地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话同样是匹配不上的。
access-list 110 deny tcp any host 192.168.0.20 eq ftp log
access-list 110 permit ip any any
(其中192。168。0。20为ftp server地址)
我把ip access-group 110 放在不同的地方不同的方向,结合昨天各位兄弟的指点,终于搞懂了,以下是我的实验结果,希望能给跟我有一样疑问的兄弟点帮助:
放置ACL的路由器 端口 方向 FTP数据包是否通过ACL
ROUTER2 E0/1 IN YES
ROUTER2 E0/1 OUT NO
ROUTER2 S0/1 IN NO
ROUTER2 S0/1 OUT YES
ROUTER1 E0/1 IN NO
ROUTER1 E0/1 OUT YES
ROUTER1 S0/1 IN YES
ROUTER1 S0/1 OUT NO
关于在vlan的接口上使用ACL配置的方向问题,在几个专业论坛里面看到经常有人提起。在这里我总结一下。还是举例说明吧。
1,拓扑图如:
Host_A(1.1.1.1) <------> (1.1.1.2)E1:SW:E2(2.2.2.2) <------> (2.2.2.1)Host_B
需求(由于是说明ACL放置接口的方向问题,所以需求简单一点):
只允许Host_A访问Host_B,其他访问Host_B的拒绝。
所以在SW上面可以配置如下:
ip access-list extended to_host_b
permit ip host 1.1.1.1 host 2.2.2.1
int e2
ip access-group to_host_b out
这里可以明显的看出方向使用out方向,我知道ACL用在硬接口上面大家都很容易理解,一般都不会弄错。下面说明怎么理解ACL配置在vlan接口上。
2,拓扑图如:
Host_A(1.1.1.1) <------> (1.1.1.2)vlan1:SW:vlan2(2.2.2.2) <------> (2.2.2.1)Host_B
需求(由于是说明ACL放置接口的方向问题,所以需求简单一点):
只允许Host_A访问Host_B,其他访问Host_B的拒绝。
所以在SW上面可以配置如下:
ip access-list extended to_host_b
permit ip host 1.1.1.1 host 2.2.2.1
int vlan2
ip access-group to_host_b out
依然是out方向,其实很简单,大家只要将vlan的虚接口看作是硬接口就行了,不要想得太复杂。但是如果要放在vlan1的IN方向,ACL该怎么写呢?可以如下:
需求(由于是说明ACL放置接口的方向问题,所以需求简单一点):
只允许Host_A访问Host_B,其他访问Host_B的拒绝。
所以在SW上面可以配置如下:
ip access-list extended to_host_b
permit ip host 1.1.1.1 host 2.2.2.1
deny ip any host 2.2.2.1
per ip any any
int vlan 1
ip access-group to_host_b in
其实很简单,有一个规律可以增加些理解:
针对某个vlan接口应用acl的方向问题,大家可以看看acl的源和目标地址段。当源地址段为应用vlan接口的ip段时,就是用in方向;当目的地址段为应用vlan接口的ip段时,就是用out方向。反正有一点需要注意,应用在vlan的ACL为out方向时,其目的地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话是匹配不上的;应用在vlan的ACL为in方向时,其源地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话同样是匹配不上的。
本文转自810105851 51CTO博客,原文链接http://blog.51cto.com/4708948/1141165,如需转载请自行联系原作者