此命令创建一条数字标准IP 访问列表，如果已有此访问列表，则增加一
条rule 表项
怎样利用 IP 地址 和 反掩码sMask 来表示 一个网段?
All rights reserved
Page 10
如何使用反掩码
反掩码和子网掩码相似，但写法不同：
0表示需要比较 1表示忽略比较
反掩码和IP地址结合使用，可以描述一个地址范围。
All rights reserved Page 20
包过滤技术的基本规则和原理
小结
标准和扩展访问控制列表的配置方法
All rights reserved
Page 13
高级IP访问控制列表的配置命令（二）
配置基于ICMP协议的高级IP访问列表：
Switch(config)# access-list <num> {deny | permit} icmp {{<sIpAddr> <sMask>} | any-source |{host-source <sIpAddr>}} {{<dIpAddr> <dMask>} | any-destination |{host-destination <dIpAddr>}} [<icmp-type> [<icmp-code>]] [precedence <prec>][tos <tos>][time-range<time-range-name>]
绝。
从 202.110.10.0/24 来的数据包可以 通过！
从192.110.10.0/24 来的数据包不能 通过！
路由器
All rights reserved
Page 9
标准IP访问控制列表的配置
命令格式如பைடு நூலகம்：
Switch(config)# access-list <num> {deny | permit} {{<sIpAddr> <sMask >} | any-source |{host-source <sIpAddr>}}
Switch(config)# time-range <time_range_name>
定义一周内的各种不同要求的时间范围，每周都循环这个时间
Switch (Config-Time-Range) # absolute-periodic { Monday | Tuesday | Wednesday |Thursday |Friday |Saturday |Sunday }<start_time> to {Monday| Tuesday |Wednesday |Thursday |Friday |Saturday |Sunday} <end_time>
定义一个绝对时间段，这个时间段是根据本设备的时钟运行
Switch (Config-Time-Range) # absolute start <start_time> <start_data> [end <end_time> <end_data>]
显示时间范围功能配置信息
Switch(config)# show time-range<word>
配置基于其它协议的高级IP访问列表：
Switch(config)# access-list <num> {deny | permit} {eigrp | gre | igrp | ipinip | ip | <int>}{{<sIpAddr> <sMask>} | any-source | {hostsource <sIpAddr>}} {{<dIpAddr><dMask>} | any-destination | {host-destination <dIpAddr>}} [precedence <prec>][tos <tos>][time-range<time-range-name>]
All rights reserved
Page 18
基于时间段的包过滤
“特殊时间段内应用特殊的规则”
Internet
上班时间 （上午8：00 － 下午5：00） 只能访问特定的站点；其余 时间可以访问其他站点
All rights reserved
Page 19
时间段的配置命令
创建一个名为time_range_name 的时间范围名，并同时进入时间范围模式
对路由器/交换机需要转发的数据包，先获取包头信息，然后 和设定的规则进行比较，根据比较的结果对数据包进行转发 或者丢弃。而实现包过滤的核心技术是访问控制列表。
R
内部网络 Internet 办事处 公司总部
All rights reserved
未授权用户
Page 3
访问控制列表的作用
访问控制列表可以用于防火墙； 访问控制列表可以用于Qos（Quality of Service），对数据流量进
访问控制列表是什么？
一个以太网帧如下图所示：
可以是 TCP/UDP/ICMP/ OSPF。。。。
以太网帧头
IP包头
TCP/UDP报头
数据
源MAC
协议号
源地址
源端口
目的MAC
帧头字段
目的端口
目的地址
对于以太网帧来说， 帧头的相关字段可以 用来定义规则；甚至 可以将二、三、四层 各字段同时用于规则 定义。
0 0 0
0 0 255
0 3 255
255 255 255
只比较前24位 只比较前22位 只比较前8位
All rights reserved
Page 11
扩展IP访问控制列表
扩展IP访问控制列表使用除源IP地址外更多的信息描述数据包，
表明是允许还是拒绝。
从202.110.10.0/24来的, 到179.100.17.10的， 使用TCP协议， 利用HTTP访问的 数据包可以通过！
{ip|mac|mac-ip} access-group [<num>|<acl-name>]{in|out}
访问控制列表2001 作用在Ethernet0/0/1接 口，在out方向有效 Ethernet0/0/1
访问控制列表3001 作用在Ethernet0/0/2接 口，在in方向上有效 Ethernet0/0/2
访问控制列表工作原理 及基本配置
All rights reserved
学习完此课程，您将会：
理解访问控制列表的基本原理
掌握标准和扩展访问控制列表的配置方法 掌握在交换机上配置基于二层的访问控制列表的方法
All rights reserved
Page 2
IP包过滤技术介绍
如何在保证合法访问的同时，对非法访问进行控制？
− 标准（standard）和扩展（extended）；扩展方式可以指定更加 细致的过滤信息。 根据命名方式： − 数字（numbered）和命名（named）。
对一条ACL的说明应当从这三个方面加以描述。
All rights reserved
Page 7
如何标识访问控制列表？
利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类（神州数码交换机产品）
行控制；
在DCC中，访问控制列表还可用来规定触发拨号的条件；
访问控制列表还可以用于地址转换；
在配置路由策略时，可以利用访问控制列表来作路由信息的过滤； 在配置策略路由时，可以利用访问控制列表来过滤特定的报文做特
殊处理。
All rights reserved
Page 4
访问控制列表是什么？
打开或者关闭防火墙
Switch(config)# firewall { enable | disable }
设置防火墙的缺省过滤模式
Switch(config)# firewall default { permit | deny }
显示配置的访问控制列表
Switch# show access-lists [<num>|<acl-name>]
显示包过滤功能配置信息
Switch# show firewall
显示端口上ACL 绑定情况
Switch# show access-group [interface [Ethernet] <name>]
All rights reserved
Page 17
在物理端口上应用访问控制列表
将访问控制列表应用到物理端口上 指明是OUT还是IN方向 在物理端口配置模式下：
access-list 120 deny tcp 129.9.0.0 0.0.255.255 202.38.160.0 0.0.0.255 dport 80
TCP报文
WWW 端口 202.38.160.0/24
129.9.0.0/16
问题: 下面这条规则表示什么意思? deny udp 129.9.8.0 0.0.0.255 202.38.160.0 0.0.0.255 dport 128
一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）：
IP包头
TCP/UDP报头
数据
协议号 源地址 目的地址
源端口
目的端口
对于TCP/UDP应用来说，这5 个元素组成了一个TCP/UDP 相关，访问控制列表就是利 用这些元素定义相应的规则