一、编号ACL
拓扑
配置好ip地址后,为每台路由器配置静态路由
R1
R1(config)#ip route 22.0.0.0 255.255.255.0 12.0.0.2
R1(config)#ip route 3.3.3.3 255.255.255.255 12.0.0.2
R1(config)#ip route 4.4.4.4 255.255.255.255 12.0.0.2
R2
R2(config)#ip route 1.1.1.1 255.255.255.255 12.0.0.1
R2(config)#ip route 2.2.2.2 255.255.255.255 12.0.0.1
R2(config)#ip route 3.3.3.3 255.255.255.255 22.0.0.1
R2(config)#ip route 4.4.4.4 255.255.255.255 22.0.0.1
R3
R3(config)#ip route 12.0.0.0 255.255.255.0 22.0.0.2
R3(config)#ip route 1.1.1.1 255.255.255.255 22.0.0.2
R3(config)#ip route 2.2.2.2 255.255.255.255 22.0.0.2
测试是否可以ping通
对R2进行ACL配置,使得只允许R1的1.1.1.1可以ping通
R2(config)#access-list 1 permit 1.1.1.1
R2(config)#access-list 1 permit 1.1.1.1 0.0.0.0
R2(config)#access-list 1 deny any
R2#show ip access-lists 1
Standard IP access list 1
10 permit 1.1.1.1
20 deny any
R2(config)#int f0/0
R2(config-if)#ip access-group 1 in
或者
R2(config)#int f1/0
R2(config-if)#ip access-group 1 out
测试
然后限制网络管理,只允许1.1.1.1远程telnet
R2(config)#username user password psd
R2(config)#line vty 0 15
R2(config-line)#access-class 1 in
此时R1telnet
查看vty正在配置的命令:
show run | section vty
编号ACL扩展
R2添加配置,允许1.1.1.1ping3.3.3.3但不允许ping4.4.4.4
R2配置
R2(config)#access-list 100 permit ip host 1.1.1.1 host 3.3.3.3
R2(config)#access-list 100 deny ip host 1.1.1.1 host 4.4.4.4
R2(config)#int f1/0
R2(config-if)#ip access-group 100 out
然后配置允许1.1.1.1 telnet到3.3.3.3但不允许ping通
允许2.2.2.2ping通4.4.4.4但不允许telnet
首先将之前access-list 100中的内容删除
然后添加
R2(config)#access-list 100 permit tcp host 1.1.1.1 host 3.3.3.3 eq telnet
R2(config)#access-list 100 permit icmp host 2.2.2.2 host 4.4.4.4
然后删除access-list 100的限制,添加新规则
拒绝所有到3.3.3.3的icmp流量
拒绝1.1.1.1发起的telnet流量
拒绝1.1.1.1到4.4.4.4的http流量
允许其他流量
R2(config)#access-list 100 deny icmp any host 3.3.3.3
R2(config)#access-list 100 deny tcp host 1.1.1.1 any eq telnet
R2(config)#access-list 100 deny tcp host 1.1.1.1 host 4.4.4.4 eq www
R2(config)#access-list 100 permit ip any any
二、时间ACL
地址配置如图,并配置静态路由
然后配置时间ACL。
首先需要设置路由器(R2)的时间:
R2(config)#clock timezone BJ 8
R2#clock set 21:30:30 28 February 2019
R2#show clock
21:30:35.155 BJ Thu Feb 28 2019
然后设置规则(21:00-22:00允许ping3.3.3.3,之后不允许)
R2(config)#time-range br //br为名字
R2(config-time-range)#periodic weekdays 21:00 to 22:00
设置扩展ACL
R2(config)#access-list 100 permit ip host 1.1.1.1 host 3.3.3.3 time-range br
添加到接口
R2(config)#int f1/0
R2(config-if)#ip access-group 100 out
此时进行测试
更改R2的时间到22点之后,再测试
三、自反ACL
拓扑和之前一样,现在配置使得R1可以访问到R3,但R3访问不了R1
R2(config)#ip access-list extended OUTACL
R2(config-ext-nacl)#permit ip any any reflect RE //将R1发送的流量记录到RE中
R2(config)#ip access-list extended INACL
R2(config-ext-nacl)#evaluate RE //先将RE的允许返回
R2(config-ext-nacl)#deny ip any any //拒绝R3的流量进入
R2(config)#int f1/0
R2(config-if)#ip access-group OUTACL out
R2(config-if)#ip access-group INACL in