《网络互联技术》访问控制列表.pptVIP

第四部分：命名访问控制列表 四、命名标准访问控制列表实例 （1）功能实现：禁止源地址为 5 的数据包流入路由器的 E 0/0 接口，其实就是禁止了 5 主机的对外访问。 （2）拓朴结构 第四部分：命名访问控制列表 3、定义标准命名访问控制列表 Router(config)# ip access-list standard block25 Router(config-std-nacl)# deny host 5 Router(config-std-nacl)# permit any Router(config-std-nacl)# exit 4、应用标准命名访问控制列表到路由器指定接口的指定方向上 Router(config)# interface ethernet 0/0 Router(config-if)# ip access-group block25 in 第五部分：时间访问控制列表 一、基于时间的访问控制列表 基于时间的访问控制列表可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。配置基于时间的访问控制列表之前，必须正确配置路由器的时间: 配置时间语法：#clock set hh:mm:ss 1-31 MONTH 1992-2035 第五部分：时间访问控制列表 二、定义时间名称 Router(config)# time-range [time-range-name] time-range：用来定义时间范围 time-range-name：时间范围名称，以便在后面的访问控制列表中引用 三、定义时间名称所指向的具体时间范围 （1）定义绝对时间范围 Router(config-time-range)# absolute start hh:mm 1-31 MONTH 1993-2035 end hh:mm 1-31 month 1993-2035 该命令用来指定绝对时间范围。它后面紧跟start和 end两个关键字。在两个关键字后面的时间要以24小时制和“hh: mm（小时：分钟）”表示，日期要按照“日/月/年”形式表示。 第五部分：时间访问控制列表 （2）定义相对时间范围 Router(config-time-range)# periodic [星期几（英文）] hh:mm to hh:mm 主要以星期为参数来定义时间范围。它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合，也可以是daily（每天）、weekday（周一到周五）或者weekend（周末）。 基于时间访问列表的设计中，用time-range 命令来指定时间范围的名称，然后用 absolute 命令，或者一个或多个 periodic 命令来具体定义时间范围。但两者不能同时使用，否则配置会失效。 第五部分：时间访问控制列表 四、将时间范围名称作用到指定的访问控制列表中 Router(config)# access-list 列表编号 [deny|permit] ip 源ip 源掩码 目标ip 目标掩码 time-range [time-range-name] Router(config)# access-list as号 permit any any 五、将访问控制列表添加到指定接口的指定方向 Router(config)# interface fastethernet 模块/接口 Router(config-if)# ip access-group 列表号 [in|out] 第五部分：时间访问控制列表 六、实例演示 （1）拓朴结构 第五部分：时间访问控制列表 （2）实验要求 （3）实验命令 第五部分：时间访问控制列表 七、访问控制列表命令清单 第六部分：ACL存放位置分析 一、网络拓朴结构 A B C D 二、标准访问控制列表存放位置分析 如果要A的网络拒绝来自网络的访问, 访问控制列表为: access-list 1 deny access-list 1 permit any 显然把这条ACL放在除A之外的任何路由器的任何端口都是不合适的,这样会影响到向B和C发送数据。 第六部分：ACL存放位置分析 三、扩展访问控制列表存放位置分析 如果要A拒绝来自网络的TELNET访问，扩展访问控