自反ACL實驗配置
拓撲圖
R4為外網,R2和R3為內網。
地址表
| Device |
Interface |
IP address |
| R1 |
F 0/0 |
10.1.65.1 |
| F 0/1 |
14.1.65.1 |
|
| R2 |
F 0/0 |
10.1.65.2 |
| R3 |
F 0/0 |
10.1.65.3 |
| R4 |
F 0/0 |
14.1.65.4 |
先在R2、R3與R4上配置配置靜態路由
R2(config)#ip route 14.1.65.0 255.255.255.0 10.1.65.1
R3(config)#ip route 14.1.65.0 255.255.255.0 10.1.65.1
R4(config)#ip route 10.1.65.0 255.255.255.0 14.1.65.1
配置靜態路由完成,路由之間互通,即可做自反ACL
1.配置拒絕外網主動訪問內網
說明:拒絕外網主動訪問內網,但是ICMP可以不受限制
(1)配置允許ICMP可以不用標記就進入內網,其它的必須被標記才返回
R1(config)#ip access-list extended come
R1(config-ext-nacl)#permit icmp any any
R1(config-ext-nacl)#evaluate abc
(2)應用ACL
R1(config)#int f0/1
R1(config-if)#ip access-group come in
2.測試結果
(1)測試外網R4的ICMP訪問內網
說明:可以看到,ICMP是可以任意訪問的
(2)測試外網R4 telnet內網
說明:可以看到,除ICMP之外,其它流量是不能進入內網的。
(1) 測試內網R2的ICMP訪問外網
說明:可以看到,內網發ICMP到外網,也正常返回了
(2) 測試內網R2發起telnet到外網
說明:可以看到,除ICMP之外,其它流量是不能通過的。
3.配置內網向外網發起的telnet被返回
(1)配置內網出去時,telnet被記錄為abc,將會被允許返回
R1(config)#ip access-list extended goto
R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60
R1(config-ext-nacl)#permit ip any any
(2)應用ACL
R1(config)#int f0/1
R1(config-if)#ip access-group goto out
4.測試結果
(1)查看R2到外網的ICMP
說明:ICMP屬正常
(3)查看內網向外網發起telnet
說明:可以看出,此時內網發向外網的telnet因為被標記為abc,所以在回來時,開了缺口,也就可以允許返回了。
(4)查看ACL
說明:可以看到,有一條為abc的ACL為允許外網到內網的telnet,正是由於內網發到外網的telnet被標記了,所以也自動產生了允許其返回的ACL,並且后面跟有剩余時間。
動態ACL
拓撲圖
說明:
R2和R3為內網,R4為外網,配置R1,默認允許所有telnet通過,因為要使用telnet做認證,然后只有當認證通過之后,ICMP才可以通過。
這里靜態路由配置與地址表與第一個實驗自反ACL完全相同,參照上面配置做通路由即可開始此實驗配置。
1.配置Dynamic ACL
(1)配置默認不需要認證就可以通過的數據,如telnet
R1(config)#access-list 100 permit tcp an an eq telnet
(2)配置認證之后才能通過的數據,如ICMP,絕對時間為2分鍾。
R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any
(3)應用ACL
R1(config)#int f0/0
R1(config-if)#ip access-group 100 in
2.測試訪問
(1)測試內網R2 telnet外網R4
說明:從結果中看出,telnet不受限制。
(2)測試測試內網R2 ping外網R4
說明:內網在沒有認證之前,ICMP是無法通過的。
3.配置本地用戶數據庫
R1(config)#username ccie password cisco
4.配置所有人的用戶名具有訪問功能
R1(config)#line vty 0 181
R1(config-line)#login local
R1(config-line)#autocommand access-enable
5.內網R2做認證
說明:當telnet路由器認證成功后,是會被關閉會話的。
6.測試內網到外網的ICMP通信功能
說明:認證通過之后,ICMP被放行。
7.查看ACL狀態
說明:可以看到動態允許的流量已放行。
基於時間的ACL
拓撲圖
前提:在R1路由器上需要提前配置好正確的時間
R1#clock set 20:10:30 apr 28 2019
這里靜態路由配置與地址表與第一個實驗自反ACL完全相同,參照上面配置做通路由即可開始此實驗配置。
1.配置time-range
r1(config)#time-range TELNET
r1(config-time-range)#periodic weekend 9:00 to 20:45
說明:定義的時間范圍為周末的9:00 to 20:45
2.配置ACL
說明:配置R1在上面的時間范圍內拒絕R2到R4的telnet,其它流量全部通過。
R1(config)#access-list 150 deny tcp host 10.1.65.2 any eq 23 time-range TELNET
R1(config)#access-list 150 permit ip any any
3.應用ACL
R1(config)#int f0/0
R1(config-if)#ip access-group 150 in
4.測試時間范圍內的流量情況
(1)查看當前R1的時間
說明:當前時間為周六20:26,即在所配置的時間范圍內。
(2)測試R2向R4發起telnet會話
說明:可以看到,在規定的時間范圍內,R2向R4發起telnet會話是被拒絕的。
(3)測試除telnet外的其它流量
說明:可以看到,在規定的時間范圍內,除了telnet之外,其它流量不受限制。
(4)測試除R3之外的設備telnet情況
說明:可以看到,除R3之外,其它設備telnet並不受限制。
5.測試時間范圍外的流量情況
(1)更改當前R1的時間
說明:更改時間為周日21:00,即在所配置的時間范圍之外。
(2)測試R2向R4發起telnet會話
說明:在時間范圍之外,所限制的流量被放開。