Cisco動(dòng)態(tài)ACL實(shí)驗(yàn)
一般最后一句ACL,默認(rèn)語(yǔ)句不能匹配任何流量,需要通過(guò)條件觸發(fā),就可以工作,

?
R1(config)#int e0/1
R1(config-if)#ip add 12.1.1.1 255.255.255.0
R1(config-if)#no shutdown ex
R1(config)#int e0/0
R1(config-if)#ip ?add 100.1.1.254 255.255.255.0
R1(config-if)#no shutdown
?
ISP(config)#int e0/1
ISP(config-if)#ip add 12.1.1.2 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#ex
ISP(config)#int e0/0
ISP(config-if)#ip add 200.1.1.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#
?
PC(config)#ip default-gateway 100.1.1.254
PC(config)#int e0/0
PC(config-if)#ip add 100.1.1.1 255.255.255.0
PC(config-if)#no shutdown
PC(config)#no ip routing
?
server(config)#int e0/0
server(config-if)#ip add 200.1.1.1 255.255.255.0
server(config-if)#no shutdown
server(config-if)#ex
server(config)#ip default-gateway 200.1.1.254
server(config)#no ip routing
?
配置好地址在R1和ISP之間運(yùn)行OSPF
R1(config)#router ospf 110
R1(config-router)#router-id 1.1.1.1 ????????????
R1(config-router)#network 12.1.1.1 0.0.0.0 area 0
R1(config-router)#network 100.1.1.254 0.0.0.0 area 0
?
ISP(config)#router ospf 110
ISP(config-router)#router-id 2.2.2.2
ISP(config-router)#network 12.1.1.2 0.0.0.0 area 0
ISP(config-router)#network 200.1.1.254 0.0.0.0 area 0

?

已經(jīng)學(xué)習(xí)到200網(wǎng)絡(luò)的路由了

PC是可以ping通server的,現(xiàn)在在R1創(chuàng)建ACL,放行PCping通R1 可以telnet·R1。
?
R1(config)#access-list 100 permit icmp host 100.1.1.1 host 100.1.1.254 echo ???host相當(dāng)于反碼全0 ?ping使用的是echo 來(lái)放行它通行
R1(config)#access-list 100 permit tcp host 100.1.1.1 host 100.1.1.254 eq 23 ???telnet端口為23
R1(config)#username admin password cisco
R1(config)#line vty 0 4
R1(config-line)#login local
R1(config-line)#exit
R1(config)#line vty 0
R1(config-line)#autocommand access-enable host聯(lián)動(dòng)命令?把VTY 0 號(hào)接口登陸成功的信號(hào)?和動(dòng)態(tài)ACL去做綁定
?
R1(config)#access-list 100 dynamic pc-server permit ip 100.1.1.0 0.0.0.255 200.1.1.0 0.0.0.255 ??????????起個(gè)名字為pc-server放行源100.1.1.0 目的200.1.1.0

當(dāng)前就3條語(yǔ)句,前2句式靜態(tài)的,第三句為動(dòng)態(tài)ACL,放行100.1.1.0和200.1.1.0網(wǎng)段通行,但是式動(dòng)態(tài)的還沒(méi)有觸發(fā),??接下來(lái)在R1 0/0入向調(diào)用。
R1(config)#int e0/0
R1(config-if)#ip access-group 100 in ??????????????在這個(gè)接口入向調(diào)用ACL 100???

?
Ping 100.1.1.1式可以通,但是200.1.1.1 ping不通,被第三條語(yǔ)句匹配,默認(rèn)不工作所以被隱藏默認(rèn)的deny語(yǔ)句匹配到,要訪問(wèn)它,就去telnet R1 0/0接口,觸發(fā)條件第三條語(yǔ)句才能觸發(fā),而放行
?
自反ACL
能夠讓router模擬成防火墻,來(lái)基于狀態(tài)化的流浪識(shí)別,能夠拒接PC訪問(wèn)server,允許server訪問(wèn)PC ,回包流量可以回來(lái),需要做一對(duì)ACL
R1(config)#ip access-list extended BOSS ??? ?????命名式ACL名字為BOSS
R1(config-ext-nacl)#10 permit ospf any any ?? ???可以寫序列號(hào)為10 ??放行OSPF流量
R1(config-ext-nacl)#20 permit icmp host 12.1.1.2 host 12.1.1.1 ??
R1(config-ext-nacl)#30 permit tcp host 12.1.1.2 host 12.1.1.1
R1(config-ext-nacl)#40 permit ip 200.1.1.0 0.0.0.255 100.1.1.0 0.0.0.255 re
R1(config-ext-nacl)#$0 0.0.0.255 100.1.1.0 0.0.0.255 reflect Employee ????允許BOSS訪問(wèn)員
工網(wǎng)段reflect Employee當(dāng)我使用ACE匹配流量是時(shí)候?,就能記錄匹配流量的具體內(nèi)容,要把它反射出允許,回包通行的名字叫Employee這么回向的ACE,回向的ACE必須在另外一個(gè)ACL種存在
R1(config)#ip access-list extended Employees
R1(config-ext-nacl)#10 permit icmp host 100.1.1.1 host 100.1.1.254
R1(config-ext-nacl)#20 permit tcp host 100.1.1.1 host 100.1.1.254
R1(config-ext-nacl)#evaluate Employee ??? ?????調(diào)用Employee
?
現(xiàn)在創(chuàng)建了2個(gè)ACL,一個(gè)正著掛?一個(gè)反著掛????
老板訪問(wèn)員工的ACL需要在R1 0/1接口入向調(diào)用??匹配到?ACE 40之后?在反向ACE就會(huì)形成evaluate Employee 允許回包通行的ACE來(lái)臨時(shí)通行,員工訪問(wèn)老板的ACL需要在R1 0/0接口入向調(diào)用
R1(config)#int e0/1
R1(config-if)#ip access-group BOSS in
R1(config-if)#int e0/1
R1(config-if)#ip access-group Employees in