CCNA-ACL实验动态ACL,自反ACL

    

转载时请务必以超链接形式标明文章  原始出处 、作者信息和本声明。否则将追究法律责任 。http://xiaowu10.blog.51cto.com/5120177/998611

 

实验 5：动态ACL

动态 ACL 是Cisco IOS 的一种安全特性，它使用户能在防火墙中临时打开一个缺口，而不会破坏其它已配置了的安全限制。

1. 实验目的

通过本实验可以掌握：

（ 1）动态ACL 工作原理

（ 2）配置VTY 本地登录

（ 3）配置动态ACL

（ 4）动态ACL 调试

2. 拓扑结构

实验拓扑如上图所示。

 

本实验要求如果 PC3 所在网段想要访问路由器R2 的WWW 服务，必须先TELNET 路由器R2 成功后才能访问。

3. 实验步骤

R2(config)#username ccna password cisco  //建立本地数据库

R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet  //打开 TELNET 访问权限

R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.2 eq telnet

R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 192.168.23.2 eq telnet

R2(config)#access-list 120 permit eigrp any any  //允许 EIGRP 协议

R2(config)#access-list 120 dynamic test timeout 120 permit ip 172.16.3.0

0.0.0.255 host 2.2.2.2

//“ dynamic”定义动态ACL，“timeout”定义动态ACL 绝对的超时时间

R2(config)#access-list 120 dynamic test1 timeout 120 permit ip 172.16.3.0

0.0.0.255 host 192.168.12.2

R2(config)#access-list 120 dynamic test2 timeout 120 permit ip 172.16.3.0

0.0.0.255 host 192.168.23.2

R2(config)#interface s0/1

R2(config-if)#ip access-group 120 in

R2(config)#line vty 0 4

R2(config-line)#login local  //VTY 使用本地验证

R2(config-line)#autocommand access-enable host timeout 5

//在一个动态 ACL 中创建一个临时性的访问控制列表条目，“timeout”定义了空闲超时值，空闲超时值必须小于绝对超时值。

【技术要点】

如果用参数“ host”，那么临时性条目将只为用户所用的单个IP 地址创建，如果不使用，那用户的整个网络都将被该临时性条目允许。

4. 实验调试

（ 1）没有TELNET 路由器R2, 在PC3 上直接访问路由器R2 的WWW 服务，不成功, 路由器R2 的访问控制列表：

R2#show access-lists

Extended IP access list 120

10 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet (114 matches)

20 permit tcp 172.16.3.0 0.0.0.255 host 12.12.12.2 eq telnet

30 permit tcp 172.16.3.0 0.0.0.255 host 23.23.23.2 eq telnet

40 permit eigrp any any (159 matches)

50 Dynamic test permit ip 172.16.3.0 0.0.0.255 host 2.2.2.2

60 Dynamic test1 permit ip 172.16.3.0 0.0.0.255 host 23.23.23.2

70 Dynamic test2 permit ip 172.16.3.0 0.0.0.255 host 12.12.12.2

（ 2）TELNET 路由器R2 成功之后，在PC3 上访问路由器R2 的WWW 服务，成功，路由器R2 的访问控制列表：

R2#show access-lists

Extended IP access list 120

10 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet (114 matches)

20 permit tcp 172.16.3.0 0.0.0.255 host 12.12.12.2 eq telnet

30 permit tcp 172.16.3.0 0.0.0.255 host 23.23.23.2 eq telnet

40 permit eigrp any any (159 matches)

50 Dynamic test permit ip 172.16.3.0 0.0.0.255 host 2.2.2.2

permit ip host 172.16.3.1 host 2.2.2.2 (15 matches) (time left 288)

60 Dynamic test1 permit ip 172.16.3.0 0.0.0.255 host 23.23.23.2

70 Dynamic test2 permit ip 172.16.3.0 0.0.0.255 host 12.12.12.2

从 (1)和(2)的输出结果可以看到，从主机172.16.3.1 telnet 2.2.2.2,如果通过认证，该telnet 会话就会被切断，IOS 软件将在动态访问控制列表中动态建立一临时条目 “permit ip host 172.16.3.1 host 2.2.2.2”，此时在主机172.16.3.1 上访问2.2.2.2 的Web 服务，成功。

 

 

 

 

实验 6：自反ACL

1. 实验目的

通过本实验可以掌握：

（ 1）自反ACL 工作原理

（ 2）配置自反ACL

（ 3）自反ACL 调试

2. 拓扑结构

实验拓扑如图所示。

 

本实验要求内网可以主动访问外网，但是外网不能主动访问内网，从而有效保护内网。

3. 实验步骤

（ 1）步骤1：分别在路由器R1 和R3 配置默认路由确保IP 连通性

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2

R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2

（ 2）步骤2：在路由器R2 上配置自反ACL

R2(config)#ip access-list extended ACLOUT

R2(config-ext-nacl)#permit tcp any any reflect REF  //定义自反 ACL

R2(config-ext-nacl)#permit udp any any reflect REF

R2(config)#ip access-list extended ACLIN

R2(config-ext-nacl)#evaluate REF  //评估反射

R2(config)#int s0/1

R2(config-if)#ip access-group ACLOUT out

R2(config-if)#ip access-group ACLIN in

【技术要点】

1．自反 ACL 永远是permit 的；

2．自反 ACL 允许高层Session 信息的IP 包过滤；

3. 利用自反 ACL 可以只允许出去的流量，但是阻止从外部网络产生的向内部网络的流量，从而可以更好地保护内部网络；

4. 自反 ACL 是在有流量产生时（如出方向的流量）临时自动产生的，并且当Session 结束条目就删除；

5. 自反 ACL 不是直接被应用到某个接口下的，而是嵌套在一个扩展命名访问列表下的。

4. 实验调试

（ 1）同时在路由器R1 和R3 都打开TELNET 服务，在R1(从内网到外网)TELNET 路由器R3 成功，同时在路由器R2 上查看访问控制列表：

R2#show access-lists

Extended IP access list ACLIN

10 evaluate REF

Extended IP access list ACLOUT

10 permit tcp any any reflect REF

20 permit udp any any reflect REF

Reflexive IP access list REF

permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time

left 268)

以上输出说明自反列表是在有内部到外部 TELNET 流量经过的时候，临时自动产生一条列表。

（ 2）在路由器R1 打开TELNET 服务，在R3(从外网到内网)TELNET 路由器R1 不能成功，同时在路由器R2 上查看访问控制列表：

R2#show access-lists

Extended IP access list ACLIN

10 evaluate REF

Extended IP access list ACLOUT

10 permit tcp any any reflect REF

20 permit udp any any reflect REF

Reflexive IP access list REF

以上输出说明自反列表是在有外部到内部 TELNET 流量经过的时候，不会临时自动产生一条列表，所以不能访问成功。

命令汇总

命令                          作用

show ip access-lists           查看所定义的 IP 访问控制列表

clear access-list counters     将访问控制列表计数器清零

access-list                    定义 ACL

ip access-group                在接口下应用 ACL

access-class                   在 vty 下应用ACL

ip access-list                 定义命名的 ACL

time-range time                定义时间范围

username username password password 建立本地数据库

autocommand                     定义自动执行的命令