Cisco动态ACL实验

一般最后一句ACL，默认语句不能匹配任何流量，需要通过条件触发，就可以工作，

 

R1(config)#int e0/1

R1(config-if)#ip add 12.1.1.1 255.255.255.0

R1(config-if)#no shutdown ex

R1(config)#int e0/0

R1(config-if)#ip  add 100.1.1.254 255.255.255.0

R1(config-if)#no shutdown

 

ISP(config)#int e0/1

ISP(config-if)#ip add 12.1.1.2 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#ex

ISP(config)#int e0/0

ISP(config-if)#ip add 200.1.1.254 255.255.255.0

ISP(config-if)#no shutdown

ISP(config-if)#

 

PC(config)#ip default-gateway 100.1.1.254

PC(config)#int e0/0

PC(config-if)#ip add 100.1.1.1 255.255.255.0

PC(config-if)#no shutdown

PC(config)#no ip routing

 

server(config)#int e0/0

server(config-if)#ip add 200.1.1.1 255.255.255.0

server(config-if)#no shutdown

server(config-if)#ex

server(config)#ip default-gateway 200.1.1.254

server(config)#no ip routing

 

配置好地址在R1和ISP之间运行OSPF

R1(config)#router ospf 110

R1(config-router)#router-id 1.1.1.1             

R1(config-router)#network 12.1.1.1 0.0.0.0 area 0

R1(config-router)#network 100.1.1.254 0.0.0.0 area 0

 

ISP(config)#router ospf 110

ISP(config-router)#router-id 2.2.2.2

ISP(config-router)#network 12.1.1.2 0.0.0.0 area 0

ISP(config-router)#network 200.1.1.254 0.0.0.0 area 0

 

已经学习到200网络的路由了

PC是可以ping通server的，现在在R1创建ACL，放行PCping通R1 可以telnet·R1。

 

R1(config)#access-list 100 permit icmp host 100.1.1.1 host 100.1.1.254 echo    host相当于反码全0  ping使用的是echo 来放行它通行

R1(config)#access-list 100 permit tcp host 100.1.1.1 host 100.1.1.254 eq 23    telnet端口为23

R1(config)#username admin password cisco

R1(config)#line vty 0 4

R1(config-line)#login local

R1(config-line)#exit

R1(config)#line vty 0

R1(config-line)#autocommand access-enable host联动命令 把VTY 0 号接口登陆成功的信号 和动态ACL去做绑定

 

R1(config)#access-list 100 dynamic pc-server permit ip 100.1.1.0 0.0.0.255 200.1.1.0 0.0.0.255           起个名字为pc-server放行源100.1.1.0 目的200.1.1.0

当前就3条语句，前2句式静态的，第三句为动态ACL，放行100.1.1.0和200.1.1.0网段通行，但是式动态的还没有触发，  接下来在R1 0/0入向调用。

R1(config)#int e0/0

R1(config-if)#ip access-group 100 in               在这个接口入向调用ACL 100   

 

Ping 100.1.1.1式可以通，但是200.1.1.1 ping不通，被第三条语句匹配，默认不工作所以被隐藏默认的deny语句匹配到，要访问它，就去telnet R1 0/0接口，触发条件第三条语句才能触发，而放行

 

自反ACL

能够让router模拟成防火墙，来基于状态化的流浪识别，能够拒接PC访问server，允许server访问PC ，回包流量可以回来，需要做一对ACL

R1(config)#ip access-list extended BOSS          命名式ACL名字为BOSS

R1(config-ext-nacl)#10 permit ospf any any       可以写序列号为10   放行OSPF流量

R1(config-ext-nacl)#20 permit icmp host 12.1.1.2 host 12.1.1.1   

R1(config-ext-nacl)#30 permit tcp host 12.1.1.2 host 12.1.1.1

R1(config-ext-nacl)#40 permit ip 200.1.1.0 0.0.0.255 100.1.1.0 0.0.0.255 re

R1(config-ext-nacl)#$0 0.0.0.255 100.1.1.0 0.0.0.255 reflect Employee     允许BOSS访问员

工网段reflect Employee当我使用ACE匹配流量是时候 ，就能记录匹配流量的具体内容，要把它反射出允许，回包通行的名字叫Employee这么回向的ACE，回向的ACE必须在另外一个ACL种存在

R1(config)#ip access-list extended Employees

R1(config-ext-nacl)#10 permit icmp host 100.1.1.1 host 100.1.1.254

R1(config-ext-nacl)#20 permit tcp host 100.1.1.1 host 100.1.1.254

R1(config-ext-nacl)#evaluate Employee          调用Employee

 

现在创建了2个ACL，一个正着挂 一个反着挂    

老板访问员工的ACL需要在R1 0/1接口入向调用  匹配到 ACE 40之后 在反向ACE就会形成evaluate Employee 允许回包通行的ACE来临时通行，员工访问老板的ACL需要在R1 0/0接口入向调用

R1(config)#int e0/1

R1(config-if)#ip access-group BOSS in

R1(config-if)#int e0/1

R1(config-if)#ip access-group Employees in