1、重申高级ACL编号范围是3000到3999,这个要跟基本ACL和二层ACL区分开来的,而最大的而不同点是高级ACL不单单包含源IP地址,还有目的IP地址、IP协议类型、端口号、生效时间等内容,功能来得更全,当然也更为复杂。
2、掌握高级ACL的格式,同样也是从关键词rule开始,然后写上步长、动作、协议号、目的IP地址、反掩码、目的端口、端口号,之后才是源端的信息,同样包括反掩码、端口号、时间、名称等内容,这个顺序记忆需要用时间来不断加深印象。
3、熟悉操作符的中文含义,lt代表小于,gt代表大于,eq代表等于,range代表指定范围,另外就是最为重要的一些端口号,多用多看才能不断加深印象,比如TCP文件传输协议的数据端口是20,而其控制端口是21,UDP的域名服务端口号53,还有80、520、23,这些数据看到就要有条件反射,代表的是超文本协议HTTP、路由信息协议RIP、远程连接Telnet。
4、分享高级ACL运用案例,从最基础的配置IP地址开始,到后面制定ACL规则,再到运用到具体的路由器接口上,这些都是需要有清晰思路的。常用日期的限制字段,从周一到周日,尤其是周一到周五,用working-day来表示,off-day表示的是周六到周日,daily则是周一到周日的含义。
5、写出具体的ACL规则代码,不仅要看得懂,更要会写,那样才能更好地理解。[R1]time-range worktime 8:00 to 16:00 working-day上面一行代码代表着上班时间是8点到下午4点。[R1]acl 3003[R1-acl-adv-3003]rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.10.10 0.0.0.0 time-range worktime注意adv代表的就是高级ACL,是因为3003属于3000到3999的范围内,而后一句代表允许192.168.2.0整个网段访问192.168.10.10这个IP地址,可访问时间是在上午8点到下午4点。
