四科模拟器可以设置基于时间的acl 吗?怎么我adb找不到模拟器这个命令
点击联系发帖人
时间:2016-10-18 14:38
基于时间ACL_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
基于时间ACL
上传于||文档简介
&&基​于​时​间​A​C​L
阅读已结束,如果下载本文需要使用1下载券
想免费下载本文?
定制HR最喜欢的简历
下载文档到电脑,查找使用更方便
还剩1页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢&ACL&&& 随着大规模开放式的,网络面临的威胁也就越来越多。网络问题成为网络最为头疼的问题。一方面,为了业务的发展,必须允许对网络资源的访问,另一方面,又必须确保数据和资源的尽可能。网络安全采用的很多,而通过访问控制列表(ACL)可以对数据流进行过滤,是实现基本的网络安全手段之一。本章只研究基于IP的ACL。ACL 概述访问控制列表简称为ACL,它使用包过滤技术,在上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。ACL 分很多种,不同场合应用不同种类的ACL。1. 标准ACL标准ACL 最简单,是通过使用IP 包中的源IP 地址进行过滤,表号范围1-99 或;2. 扩展ACL扩展ACL 比标准ACL 具有更多的匹配项,功能更加强大和细化,可以针对包括协议类型、源地址、目的地址、源端口、目的端口、TCP 连接建立等进行过滤,表号范围100-199 或;3. 命名ACL以列表名称代替列表编号来定义ACL,同样包括标准和扩展两种列表。在访问控制列表的学习中,要特别注意以下两个术语。1. 通配符掩码:一个32 比特位的数字,它规定了当一个IP 地址与其他的IP 地址进行比较时,该IP 地址中哪些位应该被忽略。通配符掩码中的&1&表示忽略IP 地址中对应的位,而&0&则表示该位必须匹配。两种特殊的通配符掩码是&255.255.255.255&和&0.0.0.0&,前者等价于关键字&any&,而后者等价于关键字&host&;2. Inbound 和outbound:当在上应用访问控制列表时,用户要指明访问控制列表是应用于流入数据还是流出数据。总之,ACL 的应用非常广泛,它可以实现如下的功能:1. 拒绝或允许流入(或流出)的数据流通过特定的接口;2. 为DDR 应用定义感兴趣的数据流;3. 过滤更新的内容;4. 控制对虚拟终端的访问;5. 提供流量控制。实验1:标准ACL1.实验目的通过本实验可以掌握:(1)ACL 设计原则和工作过程(2)定义标准ACL(3)应用ACL(4)标准ACL 调试2.拓扑结构实验拓扑如图所示。&本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET服务。整个网络EIGRP 保证IP 的连通性。3.实验步骤(1)步骤1:配置路由器R1R1(config)#router eigrp 1R1(config-router)# 10.1.1.0 0.0.0.255R1(config-router)#network 172.16.1.0 0.0.0.255R1(config-router)#network 192.168.12.0R1(config-router)#no auto-summary(2)步骤2:配置路由器R2R2(config)#router eigrp 1R2(config-router)#network 2.2.2.0 0.0.0.255R2(config-router)#network 192.168.12.0R2(config-router)#network 192.168.23.0R2(config-router)#no auto-summaryR2(config)#access-list 1 deny 172.16.1.0 0.0.0.255 //定义ACLR2(config)#access-list 1 permit anyR2(config)# Serial0/0R2(config-if)#ip access-group 1 in //在接口下应用ACLR2(config)#access-list 2 permit 172.16.3.1R2(config)#line vty 0 4R2(config-line)#access-class 2 in //在vty 下应用ACLR2(config-line)#password R2(config-line)#login(3)步骤3:配置路由器R3R3(config)#router eigrp 1R3(config-router)#network 172.16.3.0 0.0.0.255R3(config-router)#network 192.168.23.0R3(config-router)#no auto-summary【技术要点】(1)ACL 定义好,可以在很多地方应用,接口上应用只是其中之一,其它的常用应用包括在route map 中的match 应用和在vty 下用&access-class&命令调用,来控制telnet 的访问;(2)访问控制列表表项的检查按自上而下的顺序进行,并且从第一个表项开始,所以必须考虑在访问控制列表中定义语句的次序;(3)路由器不对自身产生的IP 数据包进行过滤;(4)访问控制列表最后一条是隐含的拒绝所有;(5)每一个路由器接口的每一个方向,每一种协议只能创建一个ACL;(6)&access-class&命令只对标准ACL 有效。4.实验调试在PC1 网络所在的主机上ping 2.2.2.2,应该通,在PC2 网络所在的主机上ping2.2.2.2,应该不通,在主机PC3 上TELNET 2.2.2.2,应该成功。(1)show ip access-lists该命令用来查看所定义的IP 访问控制列表。R2#show ip access-listsStandard IP access list 110 deny 172.16.1.0, wildcard bits 0.0.0.255 (11 matches)20 permit any (405 matches)Standard IP access list 210 permit 172.16.3.1 (2 matches)以上输出表明路由器R2 上定义的标准访问控制列表为&1&和&2&,括号中的数字表示匹配条件的数据包的个数,可以用&clear access-list counters&将访问控制列表计数器清零。(2)show ip interfaceR2#show ip interface s0/0Serial0/0 is up, line protocol is up address is 192.168.12.2/24Broadcast address is 255.255.255.255Address determined by setup MTU is 1500 bytesHelper address is not setDirected broadcast warding is disabledMulticast reserved groups joined: 224.0.0.10Outgoing access list is not setInbound access list is 1......以上输出表明在接口s0/0 的入方向应用了访问控制列表1。&实验2:扩展ACL1.实验目的通过本实验可以掌握:(1)定义扩展ACL(2)应用扩展ACL(3)扩展ACL 调试2.拓扑结构实验拓扑如上所示。本实验要求只允许PC2 所在网段的主机访问路由器R2 的WWW 和TELNET 服务,并拒绝PC3 所在网段PING 路由器R2。删除实验1 中定义的ACL,保留EIGRP 的配置。3.实验步骤(1)步骤1:配置路由器R1R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq wwwR1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2eq wwwR1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq wwwR1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnetR1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnetR1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq telnetR1(config)#interface e1/1R1(config-if)#ip access-group 100 in(2)步骤2:配置路由器R2R2(config)#no access-list 1 //删除ACLR2(config)#no access-list 2R2(config)#ip http server //将路由器配置成WEB R2(config)#line vty 0 4R2(config-line)#password ciscoR2(config-line)#login(3)步骤3:配置路由器R3R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 logR3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 logR3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 logR3(config)#access-list 101 permit ip any anyR3(config)#interface e1/0R3(config-if)#ip access-group 101 in【技术要点】(1)参数&log&会生成相应的日志信息,用来记录经过ACL 入口的数据包的情况;(2)尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上,这样创建的过滤器就不会反过来影响其它接口上的数据流。另外,尽量使标准的访问控制列表靠近目的,由于标准访问控制列表只使用源地址,如果将其靠近源会阻止数据包流向其他端口。4.实验调试(1)分别在PC2 上访问路由器R2 的TELNET 和WWW 服务,然后查看访问控制列表100:R1#show ip access-listsExtended IP access list 10010 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www (8 matches)20 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www30 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www40 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet (20 matches)50 permit tcp 172.16.1.0 0.0.0.255 host 12.12.12.2 eq telnet (4 matches)60 permit tcp 172.16.1.0 0.0.0.255 host 23.23.23.2 eq telnet (4 matches)(2)在PC3 所在网段的主机ping 路由器R2, 路由器R3 会出现下面的日志信息:*Feb 25 17:35:46.383: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 -& 2.2.2.2(0/0), 1 packet*Feb 25 17:41:08.959: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 -& 2.2.2.2(0/0), 4 packets*Feb 25 17:42:46.919: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 -&192.168.12.2 (0/0), 1 packet*Feb 25 17:42:56.803: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 -&192.168.23.2 (0/0), 1 packet以上输出说明在访问控制列表101 在有匹配数据包的时候,系统作了日志。(3)在路由器R3 上查看访问控制列表101:R3#show access-listsExtended IP access list 10110 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 log (5 matches)20 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 log (5 matches)30 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 log (5 matches)40 permit ip any any (6 matches)实验3:命名ACL命名ACL允许在标准ACL 和扩展ACL 中,使用字符串代替前面所使用的数字来表示ACL。命名ACL 还可以被用来从某一特定的ACL 中删除个别的控制条目,这样可以让网络管理员方便地修改ACL。1.实验目的通过本实验可以掌握:(1)定义命名ACL(2)应用命名ACL2.拓扑结构实验拓扑如上图所示。3.实验步骤本实验给出如何用命名ACL 来实现实验1 中和实验2 中的要求。(1)在路由器R2 上配置命名的标准ACL实现实验1 的要求R2(config)#ip access-list standard wuR2(config-std-nacl)#deny 172.16.1.0 0.0.0.255R2(config-std-nacl)#permit anyR2(config)#interface Serial0/0R2(config-if)#ip access-group wu inR2(config)#ip access-list standard dongR2(config-std-nacl)#permit 172.16.3.1R2(config-if)#line vty 0 4R2(config-line)#access-class dong in(2)在路由器R2 上查看命名访问控制列表R2#show access-listsStandard IP access list dong10 permit 172.16.3.1Standard IP access list stand10 deny 172.16.1.0, wildcard bits 0.0.0.25520 permit any (42 matches)(3)在路由器R1 和R3 上配置命名的扩展ACL 实现实验2 的要求R1(config)#ip access-list extended wu1R1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq wwwR1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq wwwR1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq wwwR1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnetR1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eqtelnetR1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eqtelnetR1(config)#interface e1/1R1(config-if)#ip access-group wu1 inR3(config)#ip access-list extended wu2R3(config-ext-nacl)#deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 logR3(config-ext-nacl)#deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 logR3(config-ext-nacl)#deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 logR3(config-ext-nacl)#permit ip any anyR3(config)#interface e1/0R3(config-if)#ip access-group ext3 in(4)在路由器R1 和R3 上查看命名访问控制列表R1#show access-listsExtended IP access list wu110 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www20 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www30 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www40 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet50 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet60 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq telnetR3#show access-listsExtended IP access list wu210 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 log20 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 log30 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 log40 permit ip any any&实验4:基于时间ACL1.实验目的通过本实验可以掌握:(1)定义time-range(2)配置基于时间ACL(3)基于时间ACL 调试2.拓扑结构实验拓扑如上所示。&本实验要求只允许PC3 主机在周一到周五的每天的8:00-18:00 访问路由器R2 的TELNET服务。3.实验步骤R3(config)#time-range time //定义时间范围R3(config-time-range)#periodic weekdays 8:00 to 18:00R3(config)#access-list 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time //在访问控制列表中调用time-rangeR3(config)#access-list 111 permit tcp host 172.16.3.1 host 192.168.12.2 eq telnet time-range timeR3(config)#access-list 111 permit tcp host 172.16.3.1 host 192.168.23.2 eq telnet time-range timeR3(config)#interface e1/0R3(config-if)#ip access-group 111 in4.实验调试(1)用&clock&命令将系统时间调整到周一至周五的8:00-18:00 范围内,然后在PC3 上TELNET 路由器R2,此时可以成功,然后查看访问控制列表111:R3#show access-listsExtended IP access list 11110 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (active) (15 matches)20 permit tcp host 172.16.3.1 host 192.168.12.2 eq telnet time-range time (active)30 permit tcp host 172.16.3.1 host 192.168.23.2 eq telnet time-range time (active)(2)用&clock&命令将系统时间调整到8:00-18:00 范围之外,然后在PC3 上TELNET 路由器R2,此时不可以成功,然后查看访问控制列表111:R3#show access-listsExtended IP access list 11110 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (inactive) (45matches)20 permit tcp host 172.16.3.1 host 192.168.12.2 eq telnet time-range time (inactive)30 permit tcp host 172.16.3.1 host 192.168.23.2 eq telnet time-range time (inactive)(3)show time-range该命令用来查看定义的时间范围。R3#show time-rangetime-range entry: shijian (active)periodic weekdays 8:00 to 18:00used in: IP ACL entryused in: IP ACL entryused in: IP ACL entry以上输出表示在3 条ACL 中调用了该time-range。&&&实验5:ACL动态ACL 是
的一种安全特性,它使用户能在中临时打开一个缺口,而不会破坏其它已配置了的安全限制。1.实验目的通过本实验可以掌握:(1)动态ACL (2)配置VTY 本地登录(3)配置动态ACL(4)动态ACL 调试2.拓扑结构实验拓扑如上图所示。&本实验要求如果PC3 所在网段想要访问路由器R2 的WWW 服务,必须先TELNET 路由器R2 成功后才能访问。3.实验步骤R2(config)#username
password cisco //建立本地R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet //打开TELNET 访问权限R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.2 eq telnetR2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 192.168.23.2 eq telnetR2(config)#access-list 120 permit eigrp any any //允许EIGRP 协议R2(config)#access-list 120 dynamic test timeout 120 permit ip 172.16.3.00.0.0.255 host 2.2.2.2//&dynamic&定义动态ACL,&timeout&定义动态ACL 绝对的超时时间R2(config)#access-list 120 dynamic test1 timeout 120 permit ip 172.16.3.00.0.0.255 host 192.168.12.2R2(config)#access-list 120 dynamic test2 timeout 120 permit ip 172.16.3.00.0.0.255 host 192.168.23.2R2(config)#interface s0/1R2(config-if)#ip access-group 120 inR2(config)#line vty 0 4R2(config-line)#login local //VTY 使用本地验证R2(config-line)#autocommand access-enable host timeout 5//在一个动态ACL 中创建一个临时性的访问控制列表条目,&timeout&定义了空闲超时值,空闲超时值必须小于绝对超时值。【技术要点】如果用参数&host&,那么临时性条目将只为用户所用的单个IP 地址创建,如果不使用,那用户的整个网络都将被该临时性条目允许。4.实验调试(1)没有TELNET 路由器R2, 在PC3 上直接访问路由器R2 的WWW 服务,不成功, 路由器R2 的访问控制列表:R2#show access-listsExtended IP access list 12010 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet (114 matches)20 permit tcp 172.16.3.0 0.0.0.255 host 12.12.12.2 eq telnet30 permit tcp 172.16.3.0 0.0.0.255 host 23.23.23.2 eq telnet40 permit eigrp any any (159 matches)50 Dynamic test permit ip 172.16.3.0 0.0.0.255 host 2.2.2.260 Dynamic test1 permit ip 172.16.3.0 0.0.0.255 host 23.23.23.270 Dynamic test2 permit ip 172.16.3.0 0.0.0.255 host 12.12.12.2(2)TELNET 路由器R2 成功之后,在PC3 上访问路由器R2 的WWW 服务,成功,路由器R2 的访问控制列表:R2#show access-listsExtended IP access list 12010 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet (114 matches)20 permit tcp 172.16.3.0 0.0.0.255 host 12.12.12.2 eq telnet30 permit tcp 172.16.3.0 0.0.0.255 host 23.23.23.2 eq telnet40 permit eigrp any any (159 matches)50 Dynamic test permit ip 172.16.3.0 0.0.0.255 host 2.2.2.2permit ip host 172.16.3.1 host 2.2.2.2 (15 matches) (time left 288)60 Dynamic test1 permit ip 172.16.3.0 0.0.0.255 host 23.23.23.270 Dynamic test2 permit ip 172.16.3.0 0.0.0.255 host 12.12.12.2从(1)和(2)的输出结果可以看到,从主机172.16.3.1 telnet 2.2.2.2,如果通过认证,该telnet 会话就会被切断,IOS 将在动态访问控制列表中动态建立一临时条目 &permit ip host 172.16.3.1 host 2.2.2.2&,此时在主机172.16.3.1 上访问2.2.2.2 的Web 服务,成功。&&&&实验6:自反ACL1.实验目的通过本实验可以掌握:(1)自反ACL 工作原理(2)配置自反ACL(3)自反ACL 调试2.拓扑结构实验拓扑如图所示。&本实验要求内网可以主动访问外网,但是外网不能主动访问内网,从而有效保护内网。3.实验步骤(1)步骤1:分别在路由器R1 和R3 配置默认路由确保IP 连通性R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2(2)步骤2:在路由器R2 上配置自反ACLR2(config)#ip access-list extended ACLOUTR2(config-ext-nacl)#permit tcp any any reflect REF //定义自反ACLR2(config-ext-nacl)#permit udp any any reflect REFR2(config)#ip access-list extended ACLINR2(config-ext-nacl)#evaluate REF //评估反射R2(config)#int s0/1R2(config-if)#ip access-group ACLOUT outR2(config-if)#ip access-group ACLIN in【技术要点】1.自反ACL 永远是permit 的;2.自反ACL 允许高层Session 信息的IP 包过滤;3. 利用自反ACL 可以只允许出去的流量,但是阻止从外部网络产生的向内部网络的流量,从而可以更好地保护内部网络;4. 自反ACL 是在有流量产生时(如出方向的流量)临时自动产生的,并且当Session 结束条目就删除;5. 自反ACL 不是直接被应用到某个接口下的,而是嵌套在一个扩展命名访问列表下的。4.实验调试(1)同时在路由器R1 和R3 都打开TELNET 服务,在R1(从内网到外网)TELNET 路由器R3 成功,同时在路由器R2 上查看访问控制列表:R2#show access-listsExtended IP access list ACLIN10 evaluate REFExtended IP access list ACLOUT10 permit tcp any any reflect REF20 permit udp any any reflect REFReflexive IP access list REFpermit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (timeleft 268)以上输出说明自反列表是在有内部到外部TELNET 流量经过的时候,临时自动产生一条列表。(2)在路由器R1 打开TELNET 服务,在R3(从外网到内网)TELNET 路由器R1 不能成功,同时在路由器R2 上查看访问控制列表:R2#show access-listsExtended IP access list ACLIN10 evaluate REFExtended IP access list ACLOUT10 permit tcp any any reflect REF20 permit udp any any reflect REFReflexive IP access list REF以上输出说明自反列表是在有外部到内部TELNET 流量经过的时候,不会临时自动产生一条列表,所以不能访问成功。命令汇总命令 &&&&&&&&&&&&&&&&&&&&&&&&作用show ip access-lists &&&&&&&&&查看所定义的IP 访问控制列表clear access-list counters &&&将访问控制列表计数器清零access-list &&&&&&&&&&&&&&&&&&定义ACLip access-group &&&&&&&&&&&&&&在接口下应用ACLaccess-class &&&&&&&&&&&&&&&&&在vty 下应用ACLip access-list &&&&&&&&&&&&&&&定义命名的ACLtime-range time &&&&&&&&&&&&&&定义时间范围username username password password 建立本地数据库autocommand &&&&&&&&&&&&&&&&&&&定义自动执行的命令H3C-基于时间的ACL_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
H3C-基于时间的ACL
上传于||文档简介
&&HC​-​基​于​时​间​的​A​C​L
阅读已结束,如果下载本文需要使用0下载券
想免费下载更多文档?
定制HR最喜欢的简历
下载文档到电脑,查找使用更方便
还剩4页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢基于时间的ACL
实现工作时间段(9:00-12:00,14&&&&&&
:00-18:00)不能访问Internet。
IP地址分配表:
<font COLOR="#6F8.0.5/30
<font COLOR="#6F8.1.1/24
<font COLOR="#6F8.0.6/24
<font COLOR="#6F8.3.1/24
PC1(RT5)
<font COLOR="#6F8.1.100/24
基本信息配置:
Router&enable&
&&&&&&&&&&&&&&&//进入特权模式&
&&&&&&&&&&&&&&&&
Router#config
terminal&&&&&&&&&&&
&//进入全局模式&&
Router(config)#hostname
RT1&&&&&&&&&
RT1 (config)#no ip
domain-lookup&&&&&&&&
//禁用域名查找
RT1 (config)#line console 0
RT1 (config-line)#logging
synchronous&&&&
//配置console信息显示自动换行
RT1 (config-line)#no
login&&&&&&&&&&&&&
//配置console口登录不认证
RT1 (config-line)#privilege level
&&&&&&&&&&&&&&&&&
&//配置Console口登录为最高特权级别,Enable不需要密码
RT1 (config-line)#line vty 0 4
RT1 (config-line)#no
login&&&&&&&&
&//配置Telnet登录不认证
RT1 (config-line)#privilege level
&&&&&&&&&&&&&&&&&&&&
//配置Telnet登录为最高特权级别,Enable不需要密码
RT1 (config-line)#end
接口配置及链路测试:
RT1上的局域网连通及测试:
RT1(config)# interface ethernet
RT1(config-if)#ip address 192.168.1.1
255.255.255.0
RT1(config-if)#no shut
RT1(config-if)#exit&&&&&&&&&&&&&&&&&&&&&&
RT1(config)#interface ethernet
RT1(config-if)#ip address 192.168.0.5
255.255.255.252
RT1(config-if)#no shutdown
RT1(config-if)#end&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
RT1#show ip interface
brief&&&&&&&&&&&&&&&&
&//查看接口简要状态
Interface&&&&&&&&&&&&&&&&&
IP-Address&&&&&
OK? Method
Status&&&&&&&&&&&&&&&
Ethernet3/0&&&&&&&&&&&&&&&
192.168.0.5&&&&
YES manual
up&&&&&&&&&&&&&&&&&&&
Ethernet3/1&&&&&&&&&&&&&&&
192.168.1.1&&&&
YES manual
up&&&&&&&&&&&&&&&&&&&
RT3上的局域网连通及测试:
RT3(config)#interface ethernet
RT3(config-if)#ip address 192.168.0.6
255.255.255.252
RT3(config-if)#no shutdown
RT3(config-if)#exit
RT3(config)#interface ethernet
RT3(config-if)#ip address 192.168.3.1
255.255.255.0
RT3(config-if)#no shutdown
RT3(config-if)#exit
RT3#show ip interface
Interface&&&&&&&&&&&&&&&&&
IP-Address&&&&&
OK? Method
Status&&&&&&&&&&&&&&&
Ethernet3/0&&&&&&&&&&&&&&&
192.168.0.6&&&&
YES manual
up&&&&&&&&&&&&&&&&&&&
up&&&&&&&&
Ethernet3/3&&&&&&&&&&&&&&&
192.168.3.1&&&&
YES manual
up&&&&&&&&&&&&&&&&&&&
PC1(RT5)的配置:
RT5(config)#interface ethernet
RT5(config-if)#ip address 192.168.1.100
255.255.255.0&&&&&&
RT5(config-if)#no shutdown
RT5(config-if)#exit
路由配置:
RT1(config)#ip route 192.168.3.1
255.255.255.0 192.168.0.6&
&//静态路由配置
RT1#show ip route
192.168.0.0/30 is subnetted, 1 subnets
192.168.0.4 is directly connected, Ethernet3/0
192.168.1.0/24 is directly connected, Ethernet3/1
192.168.3.0/24 [1/0] via 192.168.0.6
RT3(config)#ip route 192.168.1.0
255.255.255.0 192.168.0.5&&
&//静态路由配置
RT3#sho ip route
192.168.0.0/30 is subnetted, 1 subnets
192.168.0.4 is directly connected, Ethernet3/0
192.168.1.0/24 [1/0] via 192.168.0.5
192.168.3.0/24 is directly connected, Ethernet3/3
RT5(config)#ip route 0.0.0.0 0.0.0.0
192.168.1.1&&
//缺省路由配置
RT5#show ip route
192.168.1.0/24 is directly connected, Ethernet3/1
0.0.0.0/0 [1/0] via 192.168.1.1
ACL配置及测试
使用基于时间的ACL实现:
RT1(config)#time-range
w&&&&&&&&&
&//定义一个时间段
RT1(config-time-range)#periodic
weekdays 9:00 to 12:00&&
//重复时间周期
RT1(config-time-range)#periodic
weekdays 14:00 to 18:00
RT1(config-time-range)#exit
RT1(config)#access-list 106 deny
ip 192.168.1.0 0.0.0.255 any time-range
&//在ACL中调用该时间段
RT1(config)#access-list 106
permit ip any any
&&//其余时间允许任何互访问
RT1(config)#interface ethernet
RT1(config-if)#ip
access-group 106
//ACL应用与E3/0的出接口
RT1(config-if)#end
access-list
Extended IP access list
deny ip 192.168.1.0 0.0.0.255 any time-range w
(inactive)
permit ip any any
更改系统时间为工作时间
RT1#clock set 10:30:00 19 May
&//更改系统时间为工作时间&
192.168.3.1
Type escape sequence to
Sending 5, 100-byte ICMP Echos to
192.168.3.1, timeout is 2 seconds:
U.U.U&&&&&&&&&&&&&&&&&&&&&&&&&&&&
Success rate is 0 percent
更改系统时间为非工作时间
RT1#clock set
13:00:00 19 May
2009&&&&&&&
//更改系统时间为工作时间&
192.168.3.1
Type escape sequence to
Sending 5, 100-byte ICMP Echos to
192.168.3.1, timeout is 2 seconds:
!!!!!&&&&&&&&&&&&&&&&
//Ping通了
Success rate is 100 percent (5/5),
round-trip min/avg/max = 60/85/168 ms
access-list
Extended IP access list
10 deny ip 192.168.1.0 0.0.0.255 any time-range w
(inactive) (16 matches)
permit ip any any (5 matches)
带Established参数的ACL,单向访问需求ACL
带Established参数只能针对TCP协议生效。
它允许返回以建立连接的回复,发出的TCP流量将被允许返回。
主要查看是否设置了ACK、FIN、PSH、TES、SYN或URG。
时间访问控制列表
&使用基于时间的访问列表,可以根据一天中的不同时间,或者一周中的某天,或者两着结合,来控制对网络资源的访问。
基于时间的访问控制格式
1.&&&&&&&
Absolute命令:指定单个时间周期,这个周期的时间范围内是有效的;
2.&&&&&&&
Periodic命令:指定一个重复发生的时间周期。
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。}
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
基于时间ACL
上传于||文档简介
&&基​于​时​间​A​C​L
阅读已结束,如果下载本文需要使用1下载券
想免费下载本文?
定制HR最喜欢的简历
下载文档到电脑,查找使用更方便
还剩1页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢&ACL&&& 随着大规模开放式的,网络面临的威胁也就越来越多。网络问题成为网络最为头疼的问题。一方面,为了业务的发展,必须允许对网络资源的访问,另一方面,又必须确保数据和资源的尽可能。网络安全采用的很多,而通过访问控制列表(ACL)可以对数据流进行过滤,是实现基本的网络安全手段之一。本章只研究基于IP的ACL。ACL 概述访问控制列表简称为ACL,它使用包过滤技术,在上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。ACL 分很多种,不同场合应用不同种类的ACL。1. 标准ACL标准ACL 最简单,是通过使用IP 包中的源IP 地址进行过滤,表号范围1-99 或;2. 扩展ACL扩展ACL 比标准ACL 具有更多的匹配项,功能更加强大和细化,可以针对包括协议类型、源地址、目的地址、源端口、目的端口、TCP 连接建立等进行过滤,表号范围100-199 或;3. 命名ACL以列表名称代替列表编号来定义ACL,同样包括标准和扩展两种列表。在访问控制列表的学习中,要特别注意以下两个术语。1. 通配符掩码:一个32 比特位的数字,它规定了当一个IP 地址与其他的IP 地址进行比较时,该IP 地址中哪些位应该被忽略。通配符掩码中的&1&表示忽略IP 地址中对应的位,而&0&则表示该位必须匹配。两种特殊的通配符掩码是&255.255.255.255&和&0.0.0.0&,前者等价于关键字&any&,而后者等价于关键字&host&;2. Inbound 和outbound:当在上应用访问控制列表时,用户要指明访问控制列表是应用于流入数据还是流出数据。总之,ACL 的应用非常广泛,它可以实现如下的功能:1. 拒绝或允许流入(或流出)的数据流通过特定的接口;2. 为DDR 应用定义感兴趣的数据流;3. 过滤更新的内容;4. 控制对虚拟终端的访问;5. 提供流量控制。实验1:标准ACL1.实验目的通过本实验可以掌握:(1)ACL 设计原则和工作过程(2)定义标准ACL(3)应用ACL(4)标准ACL 调试2.拓扑结构实验拓扑如图所示。&本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET服务。整个网络EIGRP 保证IP 的连通性。3.实验步骤(1)步骤1:配置路由器R1R1(config)#router eigrp 1R1(config-router)# 10.1.1.0 0.0.0.255R1(config-router)#network 172.16.1.0 0.0.0.255R1(config-router)#network 192.168.12.0R1(config-router)#no auto-summary(2)步骤2:配置路由器R2R2(config)#router eigrp 1R2(config-router)#network 2.2.2.0 0.0.0.255R2(config-router)#network 192.168.12.0R2(config-router)#network 192.168.23.0R2(config-router)#no auto-summaryR2(config)#access-list 1 deny 172.16.1.0 0.0.0.255 //定义ACLR2(config)#access-list 1 permit anyR2(config)# Serial0/0R2(config-if)#ip access-group 1 in //在接口下应用ACLR2(config)#access-list 2 permit 172.16.3.1R2(config)#line vty 0 4R2(config-line)#access-class 2 in //在vty 下应用ACLR2(config-line)#password R2(config-line)#login(3)步骤3:配置路由器R3R3(config)#router eigrp 1R3(config-router)#network 172.16.3.0 0.0.0.255R3(config-router)#network 192.168.23.0R3(config-router)#no auto-summary【技术要点】(1)ACL 定义好,可以在很多地方应用,接口上应用只是其中之一,其它的常用应用包括在route map 中的match 应用和在vty 下用&access-class&命令调用,来控制telnet 的访问;(2)访问控制列表表项的检查按自上而下的顺序进行,并且从第一个表项开始,所以必须考虑在访问控制列表中定义语句的次序;(3)路由器不对自身产生的IP 数据包进行过滤;(4)访问控制列表最后一条是隐含的拒绝所有;(5)每一个路由器接口的每一个方向,每一种协议只能创建一个ACL;(6)&access-class&命令只对标准ACL 有效。4.实验调试在PC1 网络所在的主机上ping 2.2.2.2,应该通,在PC2 网络所在的主机上ping2.2.2.2,应该不通,在主机PC3 上TELNET 2.2.2.2,应该成功。(1)show ip access-lists该命令用来查看所定义的IP 访问控制列表。R2#show ip access-listsStandard IP access list 110 deny 172.16.1.0, wildcard bits 0.0.0.255 (11 matches)20 permit any (405 matches)Standard IP access list 210 permit 172.16.3.1 (2 matches)以上输出表明路由器R2 上定义的标准访问控制列表为&1&和&2&,括号中的数字表示匹配条件的数据包的个数,可以用&clear access-list counters&将访问控制列表计数器清零。(2)show ip interfaceR2#show ip interface s0/0Serial0/0 is up, line protocol is up address is 192.168.12.2/24Broadcast address is 255.255.255.255Address determined by setup MTU is 1500 bytesHelper address is not setDirected broadcast warding is disabledMulticast reserved groups joined: 224.0.0.10Outgoing access list is not setInbound access list is 1......以上输出表明在接口s0/0 的入方向应用了访问控制列表1。&实验2:扩展ACL1.实验目的通过本实验可以掌握:(1)定义扩展ACL(2)应用扩展ACL(3)扩展ACL 调试2.拓扑结构实验拓扑如上所示。本实验要求只允许PC2 所在网段的主机访问路由器R2 的WWW 和TELNET 服务,并拒绝PC3 所在网段PING 路由器R2。删除实验1 中定义的ACL,保留EIGRP 的配置。3.实验步骤(1)步骤1:配置路由器R1R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq wwwR1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2eq wwwR1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq wwwR1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnetR1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnetR1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq telnetR1(config)#interface e1/1R1(config-if)#ip access-group 100 in(2)步骤2:配置路由器R2R2(config)#no access-list 1 //删除ACLR2(config)#no access-list 2R2(config)#ip http server //将路由器配置成WEB R2(config)#line vty 0 4R2(config-line)#password ciscoR2(config-line)#login(3)步骤3:配置路由器R3R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 logR3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 logR3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 logR3(config)#access-list 101 permit ip any anyR3(config)#interface e1/0R3(config-if)#ip access-group 101 in【技术要点】(1)参数&log&会生成相应的日志信息,用来记录经过ACL 入口的数据包的情况;(2)尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上,这样创建的过滤器就不会反过来影响其它接口上的数据流。另外,尽量使标准的访问控制列表靠近目的,由于标准访问控制列表只使用源地址,如果将其靠近源会阻止数据包流向其他端口。4.实验调试(1)分别在PC2 上访问路由器R2 的TELNET 和WWW 服务,然后查看访问控制列表100:R1#show ip access-listsExtended IP access list 10010 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www (8 matches)20 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www30 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www40 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet (20 matches)50 permit tcp 172.16.1.0 0.0.0.255 host 12.12.12.2 eq telnet (4 matches)60 permit tcp 172.16.1.0 0.0.0.255 host 23.23.23.2 eq telnet (4 matches)(2)在PC3 所在网段的主机ping 路由器R2, 路由器R3 会出现下面的日志信息:*Feb 25 17:35:46.383: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 -& 2.2.2.2(0/0), 1 packet*Feb 25 17:41:08.959: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 -& 2.2.2.2(0/0), 4 packets*Feb 25 17:42:46.919: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 -&192.168.12.2 (0/0), 1 packet*Feb 25 17:42:56.803: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 -&192.168.23.2 (0/0), 1 packet以上输出说明在访问控制列表101 在有匹配数据包的时候,系统作了日志。(3)在路由器R3 上查看访问控制列表101:R3#show access-listsExtended IP access list 10110 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 log (5 matches)20 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 log (5 matches)30 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 log (5 matches)40 permit ip any any (6 matches)实验3:命名ACL命名ACL允许在标准ACL 和扩展ACL 中,使用字符串代替前面所使用的数字来表示ACL。命名ACL 还可以被用来从某一特定的ACL 中删除个别的控制条目,这样可以让网络管理员方便地修改ACL。1.实验目的通过本实验可以掌握:(1)定义命名ACL(2)应用命名ACL2.拓扑结构实验拓扑如上图所示。3.实验步骤本实验给出如何用命名ACL 来实现实验1 中和实验2 中的要求。(1)在路由器R2 上配置命名的标准ACL实现实验1 的要求R2(config)#ip access-list standard wuR2(config-std-nacl)#deny 172.16.1.0 0.0.0.255R2(config-std-nacl)#permit anyR2(config)#interface Serial0/0R2(config-if)#ip access-group wu inR2(config)#ip access-list standard dongR2(config-std-nacl)#permit 172.16.3.1R2(config-if)#line vty 0 4R2(config-line)#access-class dong in(2)在路由器R2 上查看命名访问控制列表R2#show access-listsStandard IP access list dong10 permit 172.16.3.1Standard IP access list stand10 deny 172.16.1.0, wildcard bits 0.0.0.25520 permit any (42 matches)(3)在路由器R1 和R3 上配置命名的扩展ACL 实现实验2 的要求R1(config)#ip access-list extended wu1R1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq wwwR1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq wwwR1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq wwwR1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnetR1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eqtelnetR1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eqtelnetR1(config)#interface e1/1R1(config-if)#ip access-group wu1 inR3(config)#ip access-list extended wu2R3(config-ext-nacl)#deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 logR3(config-ext-nacl)#deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 logR3(config-ext-nacl)#deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 logR3(config-ext-nacl)#permit ip any anyR3(config)#interface e1/0R3(config-if)#ip access-group ext3 in(4)在路由器R1 和R3 上查看命名访问控制列表R1#show access-listsExtended IP access list wu110 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www20 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www30 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www40 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet50 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet60 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq telnetR3#show access-listsExtended IP access list wu210 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 log20 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 log30 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 log40 permit ip any any&实验4:基于时间ACL1.实验目的通过本实验可以掌握:(1)定义time-range(2)配置基于时间ACL(3)基于时间ACL 调试2.拓扑结构实验拓扑如上所示。&本实验要求只允许PC3 主机在周一到周五的每天的8:00-18:00 访问路由器R2 的TELNET服务。3.实验步骤R3(config)#time-range time //定义时间范围R3(config-time-range)#periodic weekdays 8:00 to 18:00R3(config)#access-list 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time //在访问控制列表中调用time-rangeR3(config)#access-list 111 permit tcp host 172.16.3.1 host 192.168.12.2 eq telnet time-range timeR3(config)#access-list 111 permit tcp host 172.16.3.1 host 192.168.23.2 eq telnet time-range timeR3(config)#interface e1/0R3(config-if)#ip access-group 111 in4.实验调试(1)用&clock&命令将系统时间调整到周一至周五的8:00-18:00 范围内,然后在PC3 上TELNET 路由器R2,此时可以成功,然后查看访问控制列表111:R3#show access-listsExtended IP access list 11110 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (active) (15 matches)20 permit tcp host 172.16.3.1 host 192.168.12.2 eq telnet time-range time (active)30 permit tcp host 172.16.3.1 host 192.168.23.2 eq telnet time-range time (active)(2)用&clock&命令将系统时间调整到8:00-18:00 范围之外,然后在PC3 上TELNET 路由器R2,此时不可以成功,然后查看访问控制列表111:R3#show access-listsExtended IP access list 11110 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (inactive) (45matches)20 permit tcp host 172.16.3.1 host 192.168.12.2 eq telnet time-range time (inactive)30 permit tcp host 172.16.3.1 host 192.168.23.2 eq telnet time-range time (inactive)(3)show time-range该命令用来查看定义的时间范围。R3#show time-rangetime-range entry: shijian (active)periodic weekdays 8:00 to 18:00used in: IP ACL entryused in: IP ACL entryused in: IP ACL entry以上输出表示在3 条ACL 中调用了该time-range。&&&实验5:ACL动态ACL 是
的一种安全特性,它使用户能在中临时打开一个缺口,而不会破坏其它已配置了的安全限制。1.实验目的通过本实验可以掌握:(1)动态ACL (2)配置VTY 本地登录(3)配置动态ACL(4)动态ACL 调试2.拓扑结构实验拓扑如上图所示。&本实验要求如果PC3 所在网段想要访问路由器R2 的WWW 服务,必须先TELNET 路由器R2 成功后才能访问。3.实验步骤R2(config)#username
password cisco //建立本地R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet //打开TELNET 访问权限R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.2 eq telnetR2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 192.168.23.2 eq telnetR2(config)#access-list 120 permit eigrp any any //允许EIGRP 协议R2(config)#access-list 120 dynamic test timeout 120 permit ip 172.16.3.00.0.0.255 host 2.2.2.2//&dynamic&定义动态ACL,&timeout&定义动态ACL 绝对的超时时间R2(config)#access-list 120 dynamic test1 timeout 120 permit ip 172.16.3.00.0.0.255 host 192.168.12.2R2(config)#access-list 120 dynamic test2 timeout 120 permit ip 172.16.3.00.0.0.255 host 192.168.23.2R2(config)#interface s0/1R2(config-if)#ip access-group 120 inR2(config)#line vty 0 4R2(config-line)#login local //VTY 使用本地验证R2(config-line)#autocommand access-enable host timeout 5//在一个动态ACL 中创建一个临时性的访问控制列表条目,&timeout&定义了空闲超时值,空闲超时值必须小于绝对超时值。【技术要点】如果用参数&host&,那么临时性条目将只为用户所用的单个IP 地址创建,如果不使用,那用户的整个网络都将被该临时性条目允许。4.实验调试(1)没有TELNET 路由器R2, 在PC3 上直接访问路由器R2 的WWW 服务,不成功, 路由器R2 的访问控制列表:R2#show access-listsExtended IP access list 12010 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet (114 matches)20 permit tcp 172.16.3.0 0.0.0.255 host 12.12.12.2 eq telnet30 permit tcp 172.16.3.0 0.0.0.255 host 23.23.23.2 eq telnet40 permit eigrp any any (159 matches)50 Dynamic test permit ip 172.16.3.0 0.0.0.255 host 2.2.2.260 Dynamic test1 permit ip 172.16.3.0 0.0.0.255 host 23.23.23.270 Dynamic test2 permit ip 172.16.3.0 0.0.0.255 host 12.12.12.2(2)TELNET 路由器R2 成功之后,在PC3 上访问路由器R2 的WWW 服务,成功,路由器R2 的访问控制列表:R2#show access-listsExtended IP access list 12010 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet (114 matches)20 permit tcp 172.16.3.0 0.0.0.255 host 12.12.12.2 eq telnet30 permit tcp 172.16.3.0 0.0.0.255 host 23.23.23.2 eq telnet40 permit eigrp any any (159 matches)50 Dynamic test permit ip 172.16.3.0 0.0.0.255 host 2.2.2.2permit ip host 172.16.3.1 host 2.2.2.2 (15 matches) (time left 288)60 Dynamic test1 permit ip 172.16.3.0 0.0.0.255 host 23.23.23.270 Dynamic test2 permit ip 172.16.3.0 0.0.0.255 host 12.12.12.2从(1)和(2)的输出结果可以看到,从主机172.16.3.1 telnet 2.2.2.2,如果通过认证,该telnet 会话就会被切断,IOS 将在动态访问控制列表中动态建立一临时条目 &permit ip host 172.16.3.1 host 2.2.2.2&,此时在主机172.16.3.1 上访问2.2.2.2 的Web 服务,成功。&&&&实验6:自反ACL1.实验目的通过本实验可以掌握:(1)自反ACL 工作原理(2)配置自反ACL(3)自反ACL 调试2.拓扑结构实验拓扑如图所示。&本实验要求内网可以主动访问外网,但是外网不能主动访问内网,从而有效保护内网。3.实验步骤(1)步骤1:分别在路由器R1 和R3 配置默认路由确保IP 连通性R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2(2)步骤2:在路由器R2 上配置自反ACLR2(config)#ip access-list extended ACLOUTR2(config-ext-nacl)#permit tcp any any reflect REF //定义自反ACLR2(config-ext-nacl)#permit udp any any reflect REFR2(config)#ip access-list extended ACLINR2(config-ext-nacl)#evaluate REF //评估反射R2(config)#int s0/1R2(config-if)#ip access-group ACLOUT outR2(config-if)#ip access-group ACLIN in【技术要点】1.自反ACL 永远是permit 的;2.自反ACL 允许高层Session 信息的IP 包过滤;3. 利用自反ACL 可以只允许出去的流量,但是阻止从外部网络产生的向内部网络的流量,从而可以更好地保护内部网络;4. 自反ACL 是在有流量产生时(如出方向的流量)临时自动产生的,并且当Session 结束条目就删除;5. 自反ACL 不是直接被应用到某个接口下的,而是嵌套在一个扩展命名访问列表下的。4.实验调试(1)同时在路由器R1 和R3 都打开TELNET 服务,在R1(从内网到外网)TELNET 路由器R3 成功,同时在路由器R2 上查看访问控制列表:R2#show access-listsExtended IP access list ACLIN10 evaluate REFExtended IP access list ACLOUT10 permit tcp any any reflect REF20 permit udp any any reflect REFReflexive IP access list REFpermit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (timeleft 268)以上输出说明自反列表是在有内部到外部TELNET 流量经过的时候,临时自动产生一条列表。(2)在路由器R1 打开TELNET 服务,在R3(从外网到内网)TELNET 路由器R1 不能成功,同时在路由器R2 上查看访问控制列表:R2#show access-listsExtended IP access list ACLIN10 evaluate REFExtended IP access list ACLOUT10 permit tcp any any reflect REF20 permit udp any any reflect REFReflexive IP access list REF以上输出说明自反列表是在有外部到内部TELNET 流量经过的时候,不会临时自动产生一条列表,所以不能访问成功。命令汇总命令 &&&&&&&&&&&&&&&&&&&&&&&&作用show ip access-lists &&&&&&&&&查看所定义的IP 访问控制列表clear access-list counters &&&将访问控制列表计数器清零access-list &&&&&&&&&&&&&&&&&&定义ACLip access-group &&&&&&&&&&&&&&在接口下应用ACLaccess-class &&&&&&&&&&&&&&&&&在vty 下应用ACLip access-list &&&&&&&&&&&&&&&定义命名的ACLtime-range time &&&&&&&&&&&&&&定义时间范围username username password password 建立本地数据库autocommand &&&&&&&&&&&&&&&&&&&定义自动执行的命令H3C-基于时间的ACL_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
H3C-基于时间的ACL
上传于||文档简介
&&HC​-​基​于​时​间​的​A​C​L
阅读已结束,如果下载本文需要使用0下载券
想免费下载更多文档?
定制HR最喜欢的简历
下载文档到电脑,查找使用更方便
还剩4页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢基于时间的ACL
实现工作时间段(9:00-12:00,14&&&&&&
:00-18:00)不能访问Internet。
IP地址分配表:
<font COLOR="#6F8.0.5/30
<font COLOR="#6F8.1.1/24
<font COLOR="#6F8.0.6/24
<font COLOR="#6F8.3.1/24
PC1(RT5)
<font COLOR="#6F8.1.100/24
基本信息配置:
Router&enable&
&&&&&&&&&&&&&&&//进入特权模式&
&&&&&&&&&&&&&&&&
Router#config
terminal&&&&&&&&&&&
&//进入全局模式&&
Router(config)#hostname
RT1&&&&&&&&&
RT1 (config)#no ip
domain-lookup&&&&&&&&
//禁用域名查找
RT1 (config)#line console 0
RT1 (config-line)#logging
synchronous&&&&
//配置console信息显示自动换行
RT1 (config-line)#no
login&&&&&&&&&&&&&
//配置console口登录不认证
RT1 (config-line)#privilege level
&&&&&&&&&&&&&&&&&
&//配置Console口登录为最高特权级别,Enable不需要密码
RT1 (config-line)#line vty 0 4
RT1 (config-line)#no
login&&&&&&&&
&//配置Telnet登录不认证
RT1 (config-line)#privilege level
&&&&&&&&&&&&&&&&&&&&
//配置Telnet登录为最高特权级别,Enable不需要密码
RT1 (config-line)#end
接口配置及链路测试:
RT1上的局域网连通及测试:
RT1(config)# interface ethernet
RT1(config-if)#ip address 192.168.1.1
255.255.255.0
RT1(config-if)#no shut
RT1(config-if)#exit&&&&&&&&&&&&&&&&&&&&&&
RT1(config)#interface ethernet
RT1(config-if)#ip address 192.168.0.5
255.255.255.252
RT1(config-if)#no shutdown
RT1(config-if)#end&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
RT1#show ip interface
brief&&&&&&&&&&&&&&&&
&//查看接口简要状态
Interface&&&&&&&&&&&&&&&&&
IP-Address&&&&&
OK? Method
Status&&&&&&&&&&&&&&&
Ethernet3/0&&&&&&&&&&&&&&&
192.168.0.5&&&&
YES manual
up&&&&&&&&&&&&&&&&&&&
Ethernet3/1&&&&&&&&&&&&&&&
192.168.1.1&&&&
YES manual
up&&&&&&&&&&&&&&&&&&&
RT3上的局域网连通及测试:
RT3(config)#interface ethernet
RT3(config-if)#ip address 192.168.0.6
255.255.255.252
RT3(config-if)#no shutdown
RT3(config-if)#exit
RT3(config)#interface ethernet
RT3(config-if)#ip address 192.168.3.1
255.255.255.0
RT3(config-if)#no shutdown
RT3(config-if)#exit
RT3#show ip interface
Interface&&&&&&&&&&&&&&&&&
IP-Address&&&&&
OK? Method
Status&&&&&&&&&&&&&&&
Ethernet3/0&&&&&&&&&&&&&&&
192.168.0.6&&&&
YES manual
up&&&&&&&&&&&&&&&&&&&
up&&&&&&&&
Ethernet3/3&&&&&&&&&&&&&&&
192.168.3.1&&&&
YES manual
up&&&&&&&&&&&&&&&&&&&
PC1(RT5)的配置:
RT5(config)#interface ethernet
RT5(config-if)#ip address 192.168.1.100
255.255.255.0&&&&&&
RT5(config-if)#no shutdown
RT5(config-if)#exit
路由配置:
RT1(config)#ip route 192.168.3.1
255.255.255.0 192.168.0.6&
&//静态路由配置
RT1#show ip route
192.168.0.0/30 is subnetted, 1 subnets
192.168.0.4 is directly connected, Ethernet3/0
192.168.1.0/24 is directly connected, Ethernet3/1
192.168.3.0/24 [1/0] via 192.168.0.6
RT3(config)#ip route 192.168.1.0
255.255.255.0 192.168.0.5&&
&//静态路由配置
RT3#sho ip route
192.168.0.0/30 is subnetted, 1 subnets
192.168.0.4 is directly connected, Ethernet3/0
192.168.1.0/24 [1/0] via 192.168.0.5
192.168.3.0/24 is directly connected, Ethernet3/3
RT5(config)#ip route 0.0.0.0 0.0.0.0
192.168.1.1&&
//缺省路由配置
RT5#show ip route
192.168.1.0/24 is directly connected, Ethernet3/1
0.0.0.0/0 [1/0] via 192.168.1.1
ACL配置及测试
使用基于时间的ACL实现:
RT1(config)#time-range
w&&&&&&&&&
&//定义一个时间段
RT1(config-time-range)#periodic
weekdays 9:00 to 12:00&&
//重复时间周期
RT1(config-time-range)#periodic
weekdays 14:00 to 18:00
RT1(config-time-range)#exit
RT1(config)#access-list 106 deny
ip 192.168.1.0 0.0.0.255 any time-range
&//在ACL中调用该时间段
RT1(config)#access-list 106
permit ip any any
&&//其余时间允许任何互访问
RT1(config)#interface ethernet
RT1(config-if)#ip
access-group 106
//ACL应用与E3/0的出接口
RT1(config-if)#end
access-list
Extended IP access list
deny ip 192.168.1.0 0.0.0.255 any time-range w
(inactive)
permit ip any any
更改系统时间为工作时间
RT1#clock set 10:30:00 19 May
&//更改系统时间为工作时间&
192.168.3.1
Type escape sequence to
Sending 5, 100-byte ICMP Echos to
192.168.3.1, timeout is 2 seconds:
U.U.U&&&&&&&&&&&&&&&&&&&&&&&&&&&&
Success rate is 0 percent
更改系统时间为非工作时间
RT1#clock set
13:00:00 19 May
2009&&&&&&&
//更改系统时间为工作时间&
192.168.3.1
Type escape sequence to
Sending 5, 100-byte ICMP Echos to
192.168.3.1, timeout is 2 seconds:
!!!!!&&&&&&&&&&&&&&&&
//Ping通了
Success rate is 100 percent (5/5),
round-trip min/avg/max = 60/85/168 ms
access-list
Extended IP access list
10 deny ip 192.168.1.0 0.0.0.255 any time-range w
(inactive) (16 matches)
permit ip any any (5 matches)
带Established参数的ACL,单向访问需求ACL
带Established参数只能针对TCP协议生效。
它允许返回以建立连接的回复,发出的TCP流量将被允许返回。
主要查看是否设置了ACK、FIN、PSH、TES、SYN或URG。
时间访问控制列表
&使用基于时间的访问列表,可以根据一天中的不同时间,或者一周中的某天,或者两着结合,来控制对网络资源的访问。
基于时间的访问控制格式
1.&&&&&&&
Absolute命令:指定单个时间周期,这个周期的时间范围内是有效的;
2.&&&&&&&
Periodic命令:指定一个重复发生的时间周期。
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。}
我要回帖
更多推荐
- ·《小李飞刀喜欢林诗音还是惊鸿仙子》手游林诗音怎么样 林诗音技能属性解析
- ·电价有电费是怎么计算的公式吗?
- ·不含直线x=x0与垂直于同一条直线的两条直线平行吗x轴的直线,两种定义一样吗?
- ·户内各个功能室内空间功能区划分尺度由哪三个部分组成?
- ·《梦幻手游69大唐标配西游》手游大唐怎么加点 大唐平民加点推荐
- ·梦幻西游手游版本大全峰回路转是那个版本
- ·求分享韩剧绅士的品格中文版手机游戏。。最好中文版的,百度云谢谢
- ·逆战活动助手助手浇水活动在那点找
- ·巅峰战舰怎样发射鱼雷买铝土
- ·赛尔号六圣者无敌6圣者无敌讲了布莱克的什么
- ·乐视2为什么手机屏幕下方出现广告有见缝插针的游戏广告
- ·联通话费充值卡卡!7元一张,有没有人要?
- ·诛仙3天音主线任务 怎么做 妖楼易妖楼异变疑窦生怎么接
- ·这两天lol好卡台式机现在能玩lol吗 会不会卡 哪台比较好
- ·请问那个玩gta5好玩吗点?
- ·谁知道这是什么游戏广告
- ·请问我在命运冠位指定玛修宝具手游里面第一个第三个放宝具,第二个放普卡会打断oc不?
- ·天龙八部天佛降世下载完美初始存档
- ·手游足球大师2012欧锦赛预选赛赛怎么获得高积分
- ·龙瞎 dnf瞎子86刷图加点皮肤全有 有人收吗 价 位380
- ·四科模拟器可以设置基于时间的acl 吗?怎么我adb找不到模拟器这个命令
- ·CF到底怎么连跳啊,不要太复杂就最简单的那种,我看他们不助跑双脚起跳原地就能起跳好想学
- ·求教大神有关守望先锋大神的win7sp1的更新到几号是五月吗?
- ·时空的战歌汉化版攻略全图文攻略
- ·五到六千之间,配置高一点,主要笔记本玩游戏的配置用
- ·怎么刷新4399盒币兑换商城
- ·问道手游官网充值楚币是在那里充值的
- ·求大神告知此女名字这个准星是怎么设置的?
- ·那个城市跑滴滴快车赚钱吗最挣钱
- ·生存指南第三人称汉化眼睛怎么弄
- ·梦幻西游万里长城东昌湖可以转万里长城吗
- ·10月18日王者荣耀排位不掉方法赛主页面的哪个皮肤是谁的
- ·新区新人求问命运冠位指定前期攻略手游前期怎么发展比较好?送的都是没用的卡感觉不是很有用啊,要不要去抽?
- ·黄大仙救世报彩图为什么不更新了
- ·三国乱世2016年礼包10.19什么活动
- ·葡萄模拟器支付宝登不上去下载游戏登不上去
