一般最后一句ACL，默認(rèn)語(yǔ)句不能匹配任何流量，需要通過(guò)條件觸發(fā)，就可以工作，

?

R1(config)#int e0/1

R1(config-if)#ip add 12.1.1.1 255.255.255.0

R1(config-if)#no shutdown ex

R1(config)#int e0/0

R1(config-if)#ip ?add 100.1.1.254 255.255.255.0

R1(config-if)#no shutdown

?

ISP(config)#int e0/1

ISP(config-if)#ip add 12.1.1.2 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#ex

ISP(config)#int e0/0

ISP(config-if)#ip add 200.1.1.254 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#

?

PC(config)#ip default-gateway 100.1.1.254

PC(config)#int e0/0

PC(config-if)#ip add 100.1.1.1 255.255.255.0

PC(config-if)#no shutdown

PC(config)#no ip routing

?

server(config)#int e0/0

server(config-if)#ip add 200.1.1.1 255.255.255.0

server(config-if)#no shutdown

server(config-if)#ex

server(config)#ip default-gateway 200.1.1.254

server(config)#no ip routing

?

配置好地址在R1和ISP之間運(yùn)行OSPF

R1(config)#router ospf 110

R1(config-router)#router-id 1.1.1.1 ????????????

R1(config-router)#network 12.1.1.1 0.0.0.0 area 0

R1(config-router)#network 100.1.1.254 0.0.0.0 area 0

?

ISP(config)#router ospf 110

ISP(config-router)#router-id 2.2.2.2

ISP(config-router)#network 12.1.1.2 0.0.0.0 area 0

ISP(config-router)#network 200.1.1.254 0.0.0.0 area 0

?

已經(jīng)學(xué)習(xí)到200網(wǎng)絡(luò)的路由了

PC是可以ping通server的，現(xiàn)在在R1創(chuàng)建ACL，放行PCping通R1 可以telnet·R1。

?

R1(config)#access-list 100 permit icmp host 100.1.1.1 host 100.1.1.254 echo ???host相當(dāng)于反碼全0 ?ping使用的是echo 來(lái)放行它通行

R1(config)#access-list 100 permit tcp host 100.1.1.1 host 100.1.1.254 eq 23 ???telnet端口為23

R1(config)#username admin password cisco

R1(config)#line vty 0 4

R1(config-line)#login local

R1(config-line)#exit

R1(config)#line vty 0

R1(config-line)#autocommand access-enable host聯(lián)動(dòng)命令?把VTY 0 號(hào)接口登陸成功的信號(hào)?和動(dòng)態(tài)ACL去做綁定

?

R1(config)#access-list 100 dynamic pc-server permit ip 100.1.1.0 0.0.0.255 200.1.1.0 0.0.0.255 ??????????起個(gè)名字為pc-server放行源100.1.1.0 目的200.1.1.0

當(dāng)前就3條語(yǔ)句，前2句式靜態(tài)的，第三句為動(dòng)態(tài)ACL，放行100.1.1.0和200.1.1.0網(wǎng)段通行，但是式動(dòng)態(tài)的還沒(méi)有觸發(fā)，??接下來(lái)在R1 0/0入向調(diào)用。

R1(config)#int e0/0

R1(config-if)#ip access-group 100 in ??????????????在這個(gè)接口入向調(diào)用ACL 100???

?

Ping 100.1.1.1式可以通，但是200.1.1.1 ping不通，被第三條語(yǔ)句匹配，默認(rèn)不工作所以被隱藏默認(rèn)的deny語(yǔ)句匹配到，要訪問(wèn)它，就去telnet R1 0/0接口，觸發(fā)條件第三條語(yǔ)句才能觸發(fā)，而放行

?

自反ACL

能夠讓router模擬成防火墻，來(lái)基于狀態(tài)化的流浪識(shí)別，能夠拒接PC訪問(wèn)server，允許server訪問(wèn)PC ，回包流量可以回來(lái)，需要做一對(duì)ACL

R1(config)#ip access-list extended BOSS ??? ?????命名式ACL名字為BOSS

R1(config-ext-nacl)#10 permit ospf any any ?? ???可以寫序列號(hào)為10 ??放行OSPF流量

R1(config-ext-nacl)#20 permit icmp host 12.1.1.2 host 12.1.1.1 ??

R1(config-ext-nacl)#30 permit tcp host 12.1.1.2 host 12.1.1.1

R1(config-ext-nacl)#40 permit ip 200.1.1.0 0.0.0.255 100.1.1.0 0.0.0.255 re

R1(config-ext-nacl)#$0 0.0.0.255 100.1.1.0 0.0.0.255 reflect Employee ????允許BOSS訪問(wèn)員

工網(wǎng)段reflect Employee當(dāng)我使用ACE匹配流量是時(shí)候?，就能記錄匹配流量的具體內(nèi)容，要把它反射出允許，回包通行的名字叫Employee這么回向的ACE，回向的ACE必須在另外一個(gè)ACL種存在

R1(config)#ip access-list extended Employees

R1(config-ext-nacl)#10 permit icmp host 100.1.1.1 host 100.1.1.254

R1(config-ext-nacl)#20 permit tcp host 100.1.1.1 host 100.1.1.254

R1(config-ext-nacl)#evaluate Employee ??? ?????調(diào)用Employee

?

現(xiàn)在創(chuàng)建了2個(gè)ACL，一個(gè)正著掛?一個(gè)反著掛????

老板訪問(wèn)員工的ACL需要在R1 0/1接口入向調(diào)用??匹配到?ACE 40之后?在反向ACE就會(huì)形成evaluate Employee 允許回包通行的ACE來(lái)臨時(shí)通行，員工訪問(wèn)老板的ACL需要在R1 0/0接口入向調(diào)用

R1(config)#int e0/1

R1(config-if)#ip access-group BOSS in

R1(config-if)#int e0/1

R1(config-if)#ip access-group Employees in