密不透风的管理：用ACL构建防火墙体系

核心提示： 因为Ping命令使用网络层的ICMP协议，所以让ICMP协议通过，密不透风的管理：用ACL构建防火墙体系(4)，而Telnet使用端口23，所以将端口号为23的数据包拒绝了，用time-range 命令来指定时间范围的名称，然后用absolute命令，最终应用到某一接口，这样就可以达到目的

因为Ping命令使用网络层的ICMP协议，所以让ICMP协议通过。而Telnet使用端口23，所以将端口号为23的数据包拒绝了，最终应用到某一接口，这样就可以达到目的。

命名访问控制列表：

对于某一给定的协议，在同一路由器上有超过99条的标准ACL，或有超过100条的扩展ACL。想要通过一个字母数字串组成的名字来直观地表示特定的ACL时，并且路由器的IOS版本在11.2及以上时，可以使用命名访问控制列表，也就是用某些字符串来取代标准与扩展ACL的访问列表号。命名访问控制列表的语法格式为：

Router(config)#ip access-list {standard|extended} name

在ACL配置模式下，通过指定一个或多个允许或拒绝条件，来决定一个数据包是允许通过还是被丢弃。语法格式如下：

Router(config{std-|ext-}nacl)#{permit|deny}
{source [source-wildcad]|any}

下面是一个配置实例：

ip access-list extended nyist
permit tcp 172.16.0.0 0.0.255.255 any eq 23
deny tcp any any
deny udp 172.16.0.0 0.0.255.255 any lt 1024
interface Ethernet 0
ip access-group nyist in

基于时间访问列表的应用：

随着网络的发展和用户要求的变化，从IOS 12.0开始，思科(CISCO)路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。

基于时间访问列表的设计中，用time-range 命令来指定时间范围的名称，然后用absolute命令，或者一个或多个periodic命令来具体定义时间范围。IOS命令格式为：