訪問控制列表

1、1訪問控制列表(ACL)的綜合應用實驗風行版訪問控制列表的綜合應用實驗拓撲：實驗要求：1、在R2上配置標準訪問列表，拒絕所有來自3.3.3.0網絡的數(shù)據包。2、在R2上配置擴展訪問列表，阻塞來自網絡23.1.1.024發(fā)往12.1.1.1地址的ICMP包。3、用命名的訪問列表完成上述兩個實驗。4、R1路由器只允許23.1.1.3的IP地址能夠Tel到路由器上。5、在第4步驟中，R1路由器只允許R3在2006年11月1日至2006年11月

2、30日的每周一到周五的8：00到18：00和周末的9：00到21：00才可以Tel到R1。6、只允許R1能夠主動發(fā)起連接Tel到R3，不允許R3主動發(fā)起連接到R1路由器（Established）。7、在R2上配置Lockkey，R3與R1建立連接前需要在R2上進行認證（Tel），在R2上的認證方式為本地數(shù)據庫（在VTY線路下面開啟Loginlocal），R2自動生成臨時動態(tài)訪問列表，并配置絕對超時時間為5分鐘，空閑時間為3分鐘，自動生成

3、的訪問列表中的源地址必須用認證主機IP地址來進行替換。8、在R2上配置自反列表，使R1可以Ping通R3，R3不能Ping通R1。IP地址表：（如圖）實驗配置如下：一、基本配置：配置R1：RouterenRouter#conftRouter(config)#hostnameR13二、訪問控制列表綜合應用：1.在R2上配置標準訪問列表，拒絕所有來自3.3.3.0網絡的數(shù)據包.R2#conftR2(config)#accesslist10d

4、eny3.3.3.00.0.0.255R2(config)#accesslist10permitanyR2(config)#intS1R2(configif)#ipaccessgroup10in2.在R2上配置擴展訪問列表，阻塞來自網絡23.1.1.024發(fā)往12.1.1.1地址的ICMP包.R2#conftR2(config)#accesslist100denyicmp23.1.1.00.0.0.255host12.1.1.1R2(c

5、onfig)#accesslist100permitipanyanyR2(config)#intS1R2(configif)#ipaccessgroup100in3.R1路由器只允許23.1.1.3的IP地址能夠Tel到路由器上.R1#conftR1(config)#accesslist110permittcphost23.1.1.3host12.1.1.1eq23R1(config)#intS0R1(configif)#ipacces

6、sgroup110in4.在第3步驟中，R1路由器只允許R3在2006年11月1日至2006年11月30日的每周一到周五的8：00到18：00和周末的9：00到21：00才可以Tel到R1.R1#conftR1(config)#timerangeteltime建立允許訪問的時間范圍R1(configtimerange)#absolutestart00:001nov2006end00:001dec2006R1(configtimerang

7、e)#periodicweekday08:00to18:00R1(configtimerange)#periodicweekend09:00to21:00R1(configtimerange)#exitR1(config)#accesslist110permittcphost23.1.1.3host12.1.1.1eq23timerangeteltime建立訪問控制列表只允許R3tel登入到R1，將允許時間范圍應用上R1(config)

8、#intS0R1(configif)#ipaccessgroup110in5.只允許R1能夠主動發(fā)起連接Tel到R3，不允許R3主動發(fā)起連接到R1路由器（Established）.R1#conftR1(config)#accesslist110permittcphost23.1.1.3host12.1.1.1eq23timerangeteltimeestablished建立Established列表，只允許R1主動發(fā)起連接Tel到R3這