文章目录
一:实验目的
掌握ACL的原理以及配置方法
包括:
①基本ACL
②扩展ACL
③时间ACL
二:实验内容
如图所示:
R1和R4身后各有四个网段
需求如下:
1:让R1不能访问R4身后的网段(基本ACL)
2:让R1不能访问34.1.1.0/24网段,但是其他网段都可以访问(扩展ACL)
3:周一晚上八点到晚上十点的时候R1不能访问34.1.1.0/24网段,但是其他时间都可以
三:实验配置
(1)基本通信配置
R1
[R1]ip route-static 192.168.0.0 24 12.1.1.2
[R1]ip route-static 192.168.1.0 24 12.1.1.2
[R1]ip route-static 192.168.2.0 24 12.1.1.2
[R1]ip route-static 192.168.3.0 24 12.1.1.2
R2
[R2]ip route-static 192.168.0.0 24 23.1.1.3
[R2]ip route-static 192.168.1.0 24 23.1.1.3
[R2]ip route-static 192.168.2.0 24 23.1.1.3
[R2]ip route-static 192.168.3.0 24 23.1.1.3
R3
[R3]ip route-static 12.1.1.0 24 23.1.1.2
[R3]ip route-static 192.168.0.0 24 34.1.1.4
[R3]ip route-static 192.168.1.0 24 34.1.1.4
[R3]ip route-static 192.168.2.0 24 34.1.1.4
[R3]ip route-static 192.168.3.0 24 34.1.1.4
R4
[R4]ip route-static 12.1.1.0 24 34.1.1.3
(2)测试通信(基本通信配置)
可见已经可以通信
(3)需求一
让R1不能访问R4身后的网段(基本ACL)
我们在R2上配置ACL
R2
[R2]acl 2000(创建ACL2000)
[R2-acl-basic-2000]rule deny source 12.1.1.1 0.0.0.255(使匹配网段拒绝访问通过)
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000(在入接口调用ACL2000)
(4)测试通信(需求一)
可见已经不能访问了
(5)需求二
让R1不能访问34.1.1.0/24网段,但是其他网段都可以访问(扩展ACL)
这次我们在R3上配置
R3
[R3]acl 3000(创建ACL3000)
[R3-acl-adv-3000]rule deny ip source 12.1.1.1 0.0.0.255 destination 34.1.1.0 0.0.0.255
(使12.1.1.0/24网段拒绝访问34.1.1.0/24 网段)
[R3]interface GigabitEthernet 0/0/1
[R3-GigabitEthernet0/0/1]traffic-filter outbound acl 3000(在出接口调用ACL3000)
(6)测试通信(需求二)
我们可以看到,我们ping34.1.1.4不通
但是我们ping它身后的网段则可以通
(7)需求三
周一晚上八点到晚上十点的时候R1不能访问34.1.1.0/24网段,但是其他时间都可以
这次我们还是在R3上配置
R3
[R3]time-range hcia 20:00 to 22:00 Fri(规则为周一的晚上八点到晚上十点)
[R3]acl 3000(创建ACL3000)
[R3-acl-adv-3000]rule deny ip source 12.1.1.1 0.0.0.255 destination 34.1.1.0 0.0.0.255 time-range hcia
(使12.1.1.0/24网段拒绝访问34.1.1.0/24 网段在time-range的规则时间中)
[R3]interface GigabitEthernet 0/0/1
[R3-GigabitEthernet0/0/1]traffic-filter outbound acl 3000(在出接口调用ACL3000)
这个就测试不了通信了,因为这个是跟着系统时间走的
大家知道配置命令就好了