防火牆

自反ACL實驗配置

拓撲圖

 

 

R4爲外網，R2和R3爲內網。

地址表

Device	Interface	IP address
R1	F 0/0	10.12.1.1
	F 0/1	14.12.2.1
R2	F 0/0	10.12.1.2
R3	F 0/0	10.12.1.3
R4	F 0/0	14.12.2.4

 

先在R二、R3與R4上配置配置靜態路由

R2(config)#ip route 14.12.1.0 255.255.255.0 10.12.1.1

R3(config)#ip route 14.12.1.0 255.255.255.0 10.12.2.1

R4(config)#ip route 10.12.1.0 255.255.255.0 14.12.2.1

配置靜態路由完成，路由之間互通，便可作自反ACL

1.配置拒絕外網主動訪問內網

說明：拒絕外網主動訪問內網，可是ICMP能夠不受限制

（1）配置容許ICMP能夠不用標記就進入內網，其它的必須被標記才返回

R1(config)#ip access-list extended come

R1(config-ext-nacl)#permit icmp any any        

R1(config-ext-nacl)#evaluate abc            

（2）應用ACL

R1(config)#int f0/1

R1(config-if)#ip access-group come in

2.測試結果

（1）測試外網R4的ICMP訪問內網

 

 

說明：能夠看到，ICMP是能夠任意訪問的

（2）測試外網R4 telnet內網

 

 

說明：能夠看到，除ICMP以外，其它流量是不能進入內網的。

（1） 測試內網R2的ICMP訪問外網

 

 

說明：能夠看到，內網發ICMP到外網，也正常返回了

（2） 測試內網R2發起telnet到外網

 

 

說明：能夠看到，除ICMP以外，其它流量是不能經過的。

3.配置內網向外網發起的telnet被返回

（1）配置內網出去時，telnet被記錄爲abc,將會被容許返回

R1(config)#ip access-list extended  goto

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60  

R1(config-ext-nacl)#permit ip any any                  

（2）應用ACL

R1(config)#int f0/1

R1(config-if)#ip access-group goto out

4.測試結果

（1）查看R2到外網的ICMP

 

 

 

說明：ICMP屬正常

（3）查看內網向外網發起telnet

 

 

說明：能夠看出，此時內網發向外網的telnet由於被標記爲abc，因此在回來時，開了缺口，也就能夠容許返回了。

（4）查看ACL

 

說明：能夠看到，有一條爲abc的ACL爲容許外網到內網的telnet，正是因爲內網發到外網的telnet被標記了，因此也自動產生了容許其返回的ACL，而且後面跟有剩餘時間。

 

 

動態ACL

拓撲圖

 

 

說明：

R2和R3爲內網，R4爲外網，配置R1，默認容許全部telnet經過，由於要使用telnet作認證，而後只有當認證經過以後，ICMP才能夠經過。

這裏靜態路由配置與地址表與第一個實驗自反ACL徹底相同，參照上面配置作通路由便可開始此實驗配置。

1.配置Dynamic ACL

（1）配置默認不須要認證就能夠經過的數據，如telnet

R1(config)#access-list 100 permit tcp an an eq telnet

(2)配置認證以後才能經過的數據，如ICMP，絕對時間爲2分鐘。

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

（3）應用ACL

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

 

 

2.測試訪問

（1）測試內網R2 telnet外網R4

 

說明：從結果中看出，telnet不受限制。

（2）測試測試內網R2 ping外網R4

 

 

說明：內網在沒有認證以前，ICMP是沒法經過的。

3.配置本地用戶數據庫

R1(config)#username ccie password cisco

4.配置全部人的用戶名具備訪問功能

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable 

 

 

 

 

 

5.內網R2作認證

 

 

說明：當telnet路由器認證成功後，是會被關閉會話的。

6.測試內網到外網的ICMP通訊功能

 

 

 

說明：認證經過以後，ICMP被放行。

7.查看ACL狀態

 

 

 

說明：能夠看到動態容許的流量已放行。

 

 

基於時間的ACL

拓撲圖

 

 

前提：在R1路由器上須要提早配置好正確的時間

R1#clock set 10:00:00 apr 23 2019

這裏靜態路由配置與地址表與第一個實驗自反ACL徹底相同，參照上面配置作通路由便可開始此實驗配置。

 

1.配置time-range

r1(config)#time-range TELNET

r1(config-time-range)#periodic weekdays 9:00 to 15:00

說明：定義的時間範圍爲每週一到週五的9:00 to 15:00

2.配置ACL

說明：配置R1在上面的時間範圍內拒絕R2到R4的telnet，其它流量所有經過。

R1(config)#access-list 150 deny tcp host 10.12.1.2 any eq 23 time-range TELNET

R1(config)#access-list 150 permit ip any any

3.應用ACL

R1(config)#int f0/0

R1(config-if)#ip access-group 150 in

 

4.測試時間範圍內的流量狀況

（1）查看當前R1的時間

 

 

說明：當前時間爲週二10:00，即在所配置的時間範圍內。

（2）測試R2向R4發起telnet會話

 

 

說明：能夠看到，在規定的時間範圍內，R2向R4發起telnet會話是被拒絕的。

（3）測試除telnet外的其它流量

 

說明：能夠看到，在規定的時間範圍內，除了telnet以外，其它流量不受限制。

（4）測試除R2以外的設備telnet狀況

 

 

說明：能夠看到，除R2以外，其它設備telnet並不受限制。

5.測試時間範圍外的流量狀況

（1）更改當前R1的時間

 

 

說明：更改時間爲週二16:00，即在所配置的時間範圍以外。

（2）測試R2向R4發起telnet會話

 

 

說明：在時間範圍以外，所限制的流量被放開。