Cisco动态ACL实验
一般最后一句ACL,默认语句不能匹配任何流量,需要通过条件触发,就可以工作,https://upload-images.jianshu.io/upload_images/24325874-786ea96a31066506.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
R1(config)#int e0/1R1(config-if)#ip add 12.1.1.1 255.255.255.0R1(config-if)#no shutdown exR1(config)#int e0/0R1(config-if)#ipadd 100.1.1.254 255.255.255.0R1(config-if)#no shutdown ISP(config)#int e0/1ISP(config-if)#ip add 12.1.1.2 255.255.255.0ISP(config-if)#no shutdownISP(config-if)#exISP(config)#int e0/0ISP(config-if)#ip add 200.1.1.254 255.255.255.0ISP(config-if)#no shutdownISP(config-if)# PC(config)#ip default-gateway 100.1.1.254PC(config)#int e0/0PC(config-if)#ip add 100.1.1.1 255.255.255.0PC(config-if)#no shutdownPC(config)#no ip routing server(config)#int e0/0server(config-if)#ip add 200.1.1.1 255.255.255.0server(config-if)#no shutdownserver(config-if)#exserver(config)#ip default-gateway 200.1.1.254server(config)#no ip routing 配置好地址在R1和ISP之间运行OSPFR1(config)#router ospf 110R1(config-router)#router-id 1.1.1.1 R1(config-router)#network 12.1.1.1 0.0.0.0 area 0R1(config-router)#network 100.1.1.254 0.0.0.0 area 0 ISP(config)#router ospf 110ISP(config-router)#router-id 2.2.2.2ISP(config-router)#network 12.1.1.2 0.0.0.0 area 0ISP(config-router)#network 200.1.1.254 0.0.0.0 area 0
https://upload-images.jianshu.io/upload_images/24325874-3390b2b7d6e0d9bd.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
https://upload-images.jianshu.io/upload_images/24325874-171fe22198fe418a.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
已经学习到200网络的路由了
https://upload-images.jianshu.io/upload_images/24325874-61211069726f00cb.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
PC是可以ping通server的,现在在R1创建ACL,放行PCping通R1 可以telnet·R1。 R1(config)#access-list 100 permit icmp host 100.1.1.1 host 100.1.1.254 echo host相当于反码全0ping使用的是echo 来放行它通行R1(config)#access-list 100 permit tcp host 100.1.1.1 host 100.1.1.254 eq 23 telnet端口为23R1(config)#username admin password ciscoR1(config)#line vty 0 4R1(config-line)#login localR1(config-line)#exitR1(config)#line vty 0R1(config-line)#autocommand access-enable host联动命令 把VTY 0 号接口登陆成功的信号 和动态ACL去做绑定 R1(config)#access-list 100 dynamic pc-server permit ip 100.1.1.0 0.0.0.255 200.1.1.0 0.0.0.255 起个名字为pc-server放行源100.1.1.0 目的200.1.1.0
https://upload-images.jianshu.io/upload_images/24325874-ba728b0441ff95ff.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
当前就3条语句,前2句式静态的,第三句为动态ACL,放行100.1.1.0和200.1.1.0网段通行,但是式动态的还没有触发,接下来在R1 0/0入向调用。R1(config)#int e0/0R1(config-if)#ip access-group 100 in 在这个接口入向调用ACL 100
https://upload-images.jianshu.io/upload_images/24325874-d06efa6072e5108f.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
Ping 100.1.1.1式可以通,但是200.1.1.1 ping不通,被第三条语句匹配,默认不工作所以被隐藏默认的deny语句匹配到,要访问它,就去telnet R1 0/0接口,触发条件第三条语句才能触发,而放行 自反ACL能够让router模拟成防火墙,来基于状态化的流浪识别,能够拒接PC访问server,允许server访问PC ,回包流量可以回来,需要做一对ACLR1(config)#ip access-list extended BOSS 命名式ACL名字为BOSSR1(config-ext-nacl)#10 permit ospf any any 可以写序列号为10 放行OSPF流量R1(config-ext-nacl)#20 permit icmp host 12.1.1.2 host 12.1.1.1 R1(config-ext-nacl)#30 permit tcp host 12.1.1.2 host 12.1.1.1R1(config-ext-nacl)#40 permit ip 200.1.1.0 0.0.0.255 100.1.1.0 0.0.0.255 reR1(config-ext-nacl)#$0 0.0.0.255 100.1.1.0 0.0.0.255 reflect Employee 允许BOSS访问员工网段reflect Employee当我使用ACE匹配流量是时候 ,就能记录匹配流量的具体内容,要把它反射出允许,回包通行的名字叫Employee这么回向的ACE,回向的ACE必须在另外一个ACL种存在R1(config)#ip access-list extended EmployeesR1(config-ext-nacl)#10 permit icmp host 100.1.1.1 host 100.1.1.254R1(config-ext-nacl)#20 permit tcp host 100.1.1.1 host 100.1.1.254R1(config-ext-nacl)#evaluate Employee 调用Employee 现在创建了2个ACL,一个正着挂 一个反着挂 老板访问员工的ACL需要在R1 0/1接口入向调用匹配到 ACE 40之后 在反向ACE就会形成evaluate Employee 允许回包通行的ACE来临时通行,员工访问老板的ACL需要在R1 0/0接口入向调用R1(config)#int e0/1R1(config-if)#ip access-group BOSS inR1(config-if)#int e0/1R1(config-if)#ip access-group Employees in
没有拓扑图啊
页:
[1]