【正文】 該規(guī)則只適用十對網(wǎng)絡(luò)通信要求非常嚴(yán)格的網(wǎng)絡(luò)環(huán)境下。 Router (config) access 一 list 111 Router (config) access 一 list 111 deny tcp any any range 6881 6890 permit ip any any 將該規(guī)則應(yīng)用到端口 Router(config)interface fastEther 0/0 Router(configif)ip accessgroup 111 in 另，如果需要保證網(wǎng)絡(luò)的絕對安全性，則可以利用 ACL 只開放常用端口，其他所有端口全部禁用。所以，利用擴(kuò)展 ACL 規(guī)則配置核心 交換機(jī)可以禁用某些病毒傳播端口，并將該 IP 訪問列表應(yīng)用至相應(yīng) VLAN 或端口。 在小凡上模擬， 與 預(yù)期結(jié)果一致。 Router(config)int f0/1 //進(jìn)入 f0/1 端 口。 Router(config)accesslist 101 deny tcp any eq ftp timerange softer //設(shè)置 ACL,禁 止 在時 間段 softer 范 圍 內(nèi)訪問 的 FTR 服 務(wù)。 Router(config)timerange sofer //定義時間段名稱為 softer Router(config)periodic weekend 00:00 to 23:59 //定義具體時間范圍 ，為每周周末(六 , 日 )的 0 點(diǎn)到 23 點(diǎn) 59 分。 在 ， IP 地址為。 采用 如圖 54 所 示 的 網(wǎng) 絡(luò) 結(jié) 構(gòu) 。 通過這個時間段和擴(kuò)展 ACL 的規(guī)則結(jié)合就可以 指定出針對自己公司時間段開放的基于時間的訪問控制列表了。 基于時間的訪問控制列表的格式 : 基于時問的訪問控制列表由兩部分組成，第一部分是定義時間段，第二部分是用擴(kuò)展訪問控制列表定義規(guī)則。 基于時間的訪問控制列表用途 : 可能公可會遇到這樣的情況，要求上班時問不能上 ，下班可以上或者平時不能訪問某網(wǎng)站只有到了周末可以。不過實(shí)際工作中總會有人提出這樣或那樣的苛刻要求，這時我們還需 要掌握一些關(guān)丁 ACL 的高級技巧。 因 為病毒要想傳播都是主動進(jìn)行 TCP 連接的，由于路由器上采用反向 ACL 禁 止了 網(wǎng)段的TCP主 動連接，因此病毒無法順利傳播。當(dāng) TCP 連接沒有建立的話是不容許 訪問 的。 配置實(shí)例：禁止 病毒從 。 路 由 器 連 接 了 兩 個 網(wǎng) 段 ， 分 別 為,。 反 向 訪 問 控 制列表 的 格式 反向訪問控制列表格式非常簡單，只要在配置好的擴(kuò) 展訪問列表最后加 上 established即 可 。說得通俗 些的話就是傳輸數(shù)據(jù)可以分為兩個過程，首先是源主機(jī)向目的主 機(jī)發(fā)送連接請 求和數(shù)據(jù)，然后是目 的主機(jī)在雙方建立好連 接后發(fā)送數(shù)據(jù)給源主 機(jī)。他 可 以有效的防范病毒。這時我們可以使用反 問 控制列表來解決以上的問題。這樣就可以有效的防范病毒的攻擊。 R2（ config） ip accesslist extended testl R2 (configextnacl}permit tcp host any eq 建立擴(kuò)展 ACL 命名為 testl,禁 止所有主 機(jī)訪問 . 主 機(jī) tel (23)端 口 ,但允許訪問其他端口 。 R1(config}ip accesslist standard test R1(configstdnacl}permit host R1(configstdnacl}deny 建立標(biāo)準(zhǔn) ACL 命名為 test ,禁止 主機(jī) 通過，允許其他所有 主 機(jī)。 測試兩個網(wǎng)絡(luò)間的互通性， 以 銷售部訪問員工宿舍樓一區(qū) 為例 ，結(jié)果如圖。 測試經(jīng)理部與財(cái)務(wù)部的 互通性，結(jié)果如下圖。 %LINK5CHANGED: Interface Serial0/0/0, changed state to down r0(configif)exit r0(config)router rip //啟用 rip 協(xié)議 r0(configrouter) //聲明 網(wǎng)段 r0(configrouter) r0(configrouter) r0(configrouter) r0(configrouter) r0(configrouter)end r0 %SYS5CONFIG_I: Configured from console by console r0config t Enter configuration mands, one per line. End with CNTL/Z. r0(config)ip nat pool nat mask //設(shè)置外網(wǎng) IP 地址 r0(config)accesslist 1 permit r0(config)ip nat inside source list 1 pool nat overload //將 訪問控制列表與地址池進(jìn)行關(guān)聯(lián) r0(config)int f0/0 r0(configif)ip nat inside //指定連接網(wǎng)絡(luò)的內(nèi)部端口 r0(configif)exit r0(config)int s0/0/0 r0(configif)ip nat outside //指定連接外部網(wǎng)絡(luò)的外部端口 r0(configif)exit r0(config) r 1 的相關(guān)配置 Routeren Router Routerconfig t Enter configuration mands, one per line. End with CNTL/Z. Router(config)host r1 r1(config)int s0/0/0 r1(configif)ip address r1(configif)no shut %LINK5CHANGED: Interface Serial0/0/0, changed state to up r1(configif)exit %LINEPROTO5UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up r1(config)int s0/0/1 r1(configif)ip address r1(configif)clock rate 56000 r1(configif)no shut %LINK5CHANGED: Interface Serial0/0/1, changed state to down r1(configif)exit r1(config)int f0/0 r1(configif)ip address r1(configif)no shut %LINK5CHANGED: Interface FastEther0/0, changed state to up %LINEPROTO5UPDOWN: Line protocol on Interface FastEther0/0, changed state to up r1(configif)exit r1(config)router rip r1(configrouter) r1(configrouter) r1(configrouter) r1(configrouter) r1(configrouter) r1(configrouter) r1(configrouter) r1(configrouter) r1(configrouter) r1(configrouter)exit r1(config) r1(config)ip accesslist standard cw //以下為配置標(biāo)準(zhǔn) ACL 使 經(jīng) 理部能和財(cái) r1(configstdnacl)permit 務(wù)部通信， 其他部門不能訪問財(cái)務(wù)部 r1(configstdnacl)deny any r1(configstdnacl)exit r1(config)int f0/0 r1(configif)ip accessgroup cw out r1(configif)exit r 2 的相關(guān)配置 Router Routeren Routerconfig t Enter configuration mands, one per line. End with CNTL/Z. Router(config)host r2 r2(config)int f0/0 r2(configif)no ip address r2(configif)no shut %LINK5CHANGED: Interface FastEther0/0, changed state to up %LINEPROTO5UPDOWN: Line protocol on Interface FastEther0/0, changed state to up r2(configif)exit r2(config)int f0/ r2(configsubif) %LINK5CHANGED: Interface FastEther0/, changed state to up %LINEPROTO5UPDOWN: Line protocol on Interface FastEther0/, changed state to up r2(configsubif)encapsulation dot1q 1 r2(configsubif)ip address r2(configsubif)no shut r2(configsubif)exit r2(config)int f0/ r2(configsubif) %LINK5CHANGED: Interface FastEther0/, changed state to up %LINEPROTO5UPDOWN: Line protocol on Interface FastEther0/, changed state to up r2(configsubif)encapsulation dot1q 2 r2(configsubif)ip address r2(configsubif)no shut r2(configsubif)exit r2(config)int f0/ r2(configsubif) %LINK5CHANGED: Interface FastEther0/, changed state to up %LINEPROTO5UPDOWN: Line protocol on Interface FastEther0/, changed state to up r2(configsubif)encapsulation dot1q 3 r2(configsubif)ip address r2(configsubif)no shut r2(configsubif)exit r2(config)int f0/ r2(configsubif) %LINK5CHANGED: Interface FastEther0/, changed state to up %LINEPROTO5UPDOWN: Line protocol on Interface FastEther0/, changed state to up r2(configsubif)encapsulation dot1q 4 r2(configsubif)ip address r2(configsubif)no shut r2(configsubif)exit r2(config)int s0/0/0 r2(configif)ip address r2(configif)no shut %LINK5CHANGED: Interface Serial0/0/0, changed state to up r2(configif) %LINEPROTO5UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up r2(config)ip route r2(configif)router rip r2(configrouter) r2(configrouter)