acl 允許同網段訪問 Cisco動態ACL實驗

2021-10-14 03:45:27 字數 4378 閱讀 3553

一般最後一句acl,預設語句不能匹配任何流量,需要通過條件觸發,就可以工作,

配置好位址在r1和isp之間執行ospf

r1(config)#router ospf 110

r1(config-router)#router-id 1.1.1.1

r1(config-router)#network 12.1.1.1 0.0.0.0 area 0

r1(config-router)#network 100.1.1.254 0.0.0.0 area 0

isp(config)#router ospf 110

isp(config-router)#router-id 2.2.2.2

isp(config-router)#network 12.1.1.2 0.0.0.0 area 0

isp(config-router)#network 200.1.1.254 0.0.0.0 area 0

已經學習到200網路的路由了

pc是可以ping通server的,現在在r1建立acl,放行pcping通r1 可以telnet·r1。

r1(config)#access-list 100 permit icmp host 100.1.1.1 host 100.1.1.254 echohost相當於反碼全0 ping使用的是echo 來放行它通行

r1(config)#access-list 100 permit tcp host 100.1.1.1 host 100.1.1.254 eq 23 telnet埠為23

r1(config)#username admin password cisco

r1(config)#line vty 0 4

r1(config-line)#login local

r1(config-line)#exit

r1(config)#line vty 0

r1(config-line)#autocommand access-enable host聯動命令 把vty 0 號介面登陸成功的訊號 和動態acl去做繫結

r1(config)#access-list 100 dynamic pc-server permit ip 100.1.1.0 0.0.0.255 200.1.1.0 0.0.0.255起個名字為pc-server放行源100.1.1.0 目的200.1.1.0

當前就3條語句,前2句式靜態的,第三句為動態acl,放行100.1.1.0和200.1.1.0網段通行,但是式動態的還沒有觸發, 接下來在r1 0/0入向呼叫。

r1(config)#int e0/0

r1(config-if)#ip access-group 100 in在這個介面入向呼叫acl 100

ping 100.1.1.1式可以通,但是200.1.1.1 ping不通,被第三條語句匹配,預設不工作所以被隱藏預設的deny語句匹配到,要訪問它,就去telnet r1 0/0介面,觸發條件第三條語句才能觸發,而放行

自反acl

能夠讓router模擬成防火牆,來基於狀態化的流浪識別,能夠拒接pc訪問server,允許server訪問pc ,回包流量可以回來,需要做一對acl

r1(config)#ip access-list extended boss 命名式acl名字為boss

r1(config-ext-nacl)#10 permit ospf any any 可以寫序列號為10 放行ospf流量

r1(config-ext-nacl)#20 permit icmp host 12.1.1.2 host 12.1.1.1

r1(config-ext-nacl)#30 permit tcp host 12.1.1.2 host 12.1.1.1

r1(config-ext-nacl)#40 permit ip 200.1.1.0 0.0.0.255 100.1.1.0 0.0.0.255 re

r1(config-ext-nacl)#$0 0.0.0.255 100.1.1.0 0.0.0.255 reflect employee 允許boss訪問員

工網段reflect employee當我使用ace匹配流量是時候 ,就能記錄匹配流量的具體內容,要把它反射出允許,回包通行的名字叫employee這麼回向的ace,回向的ace必須在另外乙個acl種存在

r1(config)#ip access-list extended employees

r1(config-ext-nacl)#10 permit icmp host 100.1.1.1 host 100.1.1.254

r1(config-ext-nacl)#20 permit tcp host 100.1.1.1 host 100.1.1.254

r1(config-ext-nacl)#evaluate employee 呼叫employee

現在建立了2個acl,乙個正著掛 乙個反著掛

老闆訪問員工的acl需要在r1 0/1介面入向呼叫 匹配到 ace 40之後 在反向ace就會形成evaluate employee 允許回包通行的ace來臨時通行,員工訪問老闆的acl需要在r1 0/0介面入向呼叫

r1(config)#int e0/1

r1(config-if)#ip access-group boss in

r1(config-if)#int e0/1

r1(config-if)#ip access-group employees in

Cisco 訪問控制列表 ACL

在路由器的各個介面上進行訪問的控制 限制流量的進或出 定義感興趣流量 幫助其他的策略協議來抓取流量 訪問控制 當流量在路由器上的各個介面,進入或離開時,acl對流量進行匹配,之後產生動態 允許 拒絕 擴充套件列表 關注資料報中的源 目標ip位址,協議號 目標埠號 匹配規則 至上而下逐一匹配,上條匹配...

不同網段訪問訪問同一oracle

如何使用兩個不同的網段位址,訪問讀寫同乙個oracle?理論上只要網路能互相聯通,即能訪問同乙個oracle伺服器,事實上,oracle也確實做到了這一點,那麼具體操作上怎麼做呢?第三步 測試建立好的偵聽服務是否可用。如 有乙個應用環境,oracle伺服器安裝在192.168.23.x網段,orac...

同時訪問不同網段的主機

同時訪問不同網段的主機 有兩個網段,網段1 192.168.1.0 255.255.255.0。閘道器 192.168.1.1 可以上外網。網段2 20.19.139.0 255.255.0.0 閘道器 20.19.139.250 可以與上級機關 兩種網路拓撲 拓撲1 一台主機,兩塊網絡卡,分別接入...