防火墙

自反ACL实验配置

拓扑图

 

 

R4为外网，R2和R3为内网。

地址表

Device	Interface	IP address
R1	F 0/0	10.12.1.1
	F 0/1	14.12.2.1
R2	F 0/0	10.12.1.2
R3	F 0/0	10.12.1.3
R4	F 0/0	14.12.2.4

 

先在R二、R3与R4上配置配置静态路由

R2(config)#ip route 14.12.1.0 255.255.255.0 10.12.1.1

R3(config)#ip route 14.12.1.0 255.255.255.0 10.12.2.1

R4(config)#ip route 10.12.1.0 255.255.255.0 14.12.2.1

配置静态路由完成，路由之间互通，便可作自反ACL

1.配置拒绝外网主动访问内网

说明：拒绝外网主动访问内网，可是ICMP能够不受限制

（1）配置容许ICMP能够不用标记就进入内网，其它的必须被标记才返回

R1(config)#ip access-list extended come

R1(config-ext-nacl)#permit icmp any any        

R1(config-ext-nacl)#evaluate abc            

（2）应用ACL

R1(config)#int f0/1

R1(config-if)#ip access-group come in

2.测试结果

（1）测试外网R4的ICMP访问内网

 

 

说明：能够看到，ICMP是能够任意访问的

（2）测试外网R4 telnet内网

 

 

说明：能够看到，除ICMP以外，其它流量是不能进入内网的。

（1） 测试内网R2的ICMP访问外网

 

 

说明：能够看到，内网发ICMP到外网，也正常返回了

（2） 测试内网R2发起telnet到外网

 

 

说明：能够看到，除ICMP以外，其它流量是不能经过的。

3.配置内网向外网发起的telnet被返回

（1）配置内网出去时，telnet被记录为abc,将会被容许返回

R1(config)#ip access-list extended  goto

R1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60  

R1(config-ext-nacl)#permit ip any any                  

（2）应用ACL

R1(config)#int f0/1

R1(config-if)#ip access-group goto out

4.测试结果

（1）查看R2到外网的ICMP

 

 

 

说明：ICMP属正常

（3）查看内网向外网发起telnet

 

 

说明：能够看出，此时内网发向外网的telnet由于被标记为abc，因此在回来时，开了缺口，也就能够容许返回了。

（4）查看ACL

 

说明：能够看到，有一条为abc的ACL为容许外网到内网的telnet，正是因为内网发到外网的telnet被标记了，因此也自动产生了容许其返回的ACL，而且后面跟有剩余时间。

 

 

动态ACL

拓扑图

 

 

说明：

R2和R3为内网，R4为外网，配置R1，默认容许全部telnet经过，由于要使用telnet作认证，而后只有当认证经过以后，ICMP才能够经过。

这里静态路由配置与地址表与第一个实验自反ACL彻底相同，参照上面配置作通路由便可开始此实验配置。

1.配置Dynamic ACL

（1）配置默认不须要认证就能够经过的数据，如telnet

R1(config)#access-list 100 permit tcp an an eq telnet

(2)配置认证以后才能经过的数据，如ICMP，绝对时间为2分钟。

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

（3）应用ACL

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

 

 

2.测试访问

（1）测试内网R2 telnet外网R4

 

说明：从结果中看出，telnet不受限制。

（2）测试测试内网R2 ping外网R4

 

 

说明：内网在没有认证以前，ICMP是没法经过的。

3.配置本地用户数据库

R1(config)#username ccie password cisco

4.配置全部人的用户名具备访问功能

R1(config)#line vty 0 181

R1(config-line)#login local

R1(config-line)#autocommand access-enable 

 

 

 

 

 

5.内网R2作认证

 

 

说明：当telnet路由器认证成功后，是会被关闭会话的。

6.测试内网到外网的ICMP通讯功能

 

 

 

说明：认证经过以后，ICMP被放行。

7.查看ACL状态

 

 

 

说明：能够看到动态容许的流量已放行。

 

 

基于时间的ACL

拓扑图

 

 

前提：在R1路由器上须要提早配置好正确的时间

R1#clock set 10:00:00 apr 23 2019

这里静态路由配置与地址表与第一个实验自反ACL彻底相同，参照上面配置作通路由便可开始此实验配置。

 

1.配置time-range

r1(config)#time-range TELNET

r1(config-time-range)#periodic weekdays 9:00 to 15:00

说明：定义的时间范围为每周一到周五的9:00 to 15:00

2.配置ACL

说明：配置R1在上面的时间范围内拒绝R2到R4的telnet，其它流量所有经过。

R1(config)#access-list 150 deny tcp host 10.12.1.2 any eq 23 time-range TELNET

R1(config)#access-list 150 permit ip any any

3.应用ACL

R1(config)#int f0/0

R1(config-if)#ip access-group 150 in

 

4.测试时间范围内的流量状况

（1）查看当前R1的时间

 

 

说明：当前时间为周二10:00，即在所配置的时间范围内。

（2）测试R2向R4发起telnet会话

 

 

说明：能够看到，在规定的时间范围内，R2向R4发起telnet会话是被拒绝的。

（3）测试除telnet外的其它流量

 

说明：能够看到，在规定的时间范围内，除了telnet以外，其它流量不受限制。

（4）测试除R2以外的设备telnet状况

 

 

说明：能够看到，除R2以外，其它设备telnet并不受限制。

5.测试时间范围外的流量状况

（1）更改当前R1的时间

 

 

说明：更改时间为周二16:00，即在所配置的时间范围以外。

（2）测试R2向R4发起telnet会话

 

 

说明：在时间范围以外，所限制的流量被放开。