ACL实验
中国十大名曲实验要求:
1.R1-PC在任何时候都能telnet到R3-SER上;
2.在工作日8:30到17:30的时间里,PC不能ping通R3-SER;
3.R1-PC任何时候都能访问202.1.1.0/24网段;
实验证明步聚:
1.配置IP地址和主机网关(此时不用配置路由),并ping通相连链路、R1-PC与R3-SER;2.定义基于时间的命名扩展ACL:
大碗宽面组评论张萌1>配置时间参数;(参数:time-range + 周期时间参数<periodic>)
2>创建命名的扩展ACL:
a.创建与时间关联的PC不能ping通R3-SER的ACL (参数:ICMP-echo + 时
间参数)
b.创建R1-PC在任何时候都能telnet到R3-SER上的ACL (参数:TCP-23)
c.创建R1-PC任何时候都能访问202.1.1.0/24网段的ACL (参数:IP)
3>将创建的ACL应用到R2的F0/0接口的In方向;
酒店实习报告3.测试ACL的过滤情况:
1.用PC ping R3-SER,不通!用show access-list可以看到ICMP这条目有匹配计数,并且该条目后标识(active)活动状态;
2.用PC telnet到R3-SER上,能通!同样用show access-list可以看到telnet这条目有匹配计数;
3.用PC ping R2的F3/0接口,通!同样用show access-list可以看到IP这条目有匹配计数;
这表明ACL过滤的效果!
4.更改时间,测试关联时间那条ACL条目的生效性;
1.更改路由器的时间,将当前路由器的时间改成17:30以后;
2.查看ACL的关于ICMP(关联时间的那个条目)条目,发现状态变成Inactive(不活动状态,此状态下该条目不生效);
3.用PC ping R3-SER,通了!用show access-list可以看到ICMP这条目没有有匹配计数,并且状态变成(Inactive);
这说明了关联时间的ACL条目只在所关联的时间范围内生效,否则不会生效,即会处于Inactive状态,处于Inactive状态的ACL条目,路由器是不会与它进行匹配来过滤流量的!
5.实验完毕!证明的问题点有:ACL条目的配置与生效性查看、基于时间的ACL生效性。
配置命令参数:
北京买房注意事项R1-PC:
!
interface FastEthernet0/0
ip address 192.168.1.10 255.255.255.0
no ip route-cache蔡国庆老婆
duplex half
!
ip default-gateway 192.168.1.1
R2:雪莉是谁为什么火
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip access-group bbb in
interface FastEthernet3/0
ip address 202.1.1.1 255.255.255.0
duplex half
ip access-list extended bbb
deny icmp host 192.168.1.10 host 202.1.1.10 echo time-range aaa
permit tcp host 192.168.1.10 host 202.1.1.10 eq telnet
permit ip host 192.168.1.10 202.1.1.0 0.0.0.255
time-range aaa
periodic weekdays 8:30 to 17:30
R2#sh access-lists bbb (R1-PC ping R3-SER )
Extended IP access list bbb
5 deny icmp host 192.168.1.10 host 202.1.1.10 echo time-range aaa (active) (11 matches)
20 permit tcp host 192.168.1.10 host 202.1.1.10 eq telnet
30 permit ip host 192.168.1.10 202.1.1.0 0.0.0.255
R2#sh access-lists bbb (R1-PC telnet R3-SER )
Extended IP access list bbb
5 deny icmp host 192.168.1.10 host 202.1.1.10 echo time-range aaa (active) (11 matches)
20 permit tcp host 192.168.1.10 host 202.1.1.10 eq telnet (10 matches)
30 permit ip host 192.168.1.10 202.1.1.0 0.0.0.255
R2#sh access-lists bbb (R1-PC ping R2-FA3/0 )
Extended IP access list bbb
5 deny icmp host 192.168.1.10 host 202.1.1.10 echo time-range aaa (active) (11 matches)
20 permit tcp host 192.168.1.10 host 202.1.1.10 eq telnet (10 matches)
30 permit ip host 192.168.1.10 202.1.1.0 0.0.0.255 (15 matches)
R2#clock set 20:00:00 ?
<1-31> Day of the month
MONTH Month of the year
R2#clock set 20:00:00 3 mar 2011
R2#show access-lists bbb (R1-PC ping R3-SER )
Extended IP access list bbb
5 deny icmp host 192.168.1.10 host 202.1.1.10 echo time-range aaa (inactive) (11 matches)
20 permit tcp host 192.168.1.10 host 202.1.1.10 eq telnet (10 matches)
30 permit ip host 192.168.1.10 202.1.1.0 0.0.0.255 (15 matches)
R3-SER
interface FastEthernet3/0
ip address 202.1.1.10 255.255.255.0
no ip route-cache
duplex half
!
ip default-gateway 202.1.1.1
发布评论