动态ACL的实验配置

 

 

一、实验拓扑和地址规划表（个人学号后三位047）

GNS3拓扑和地址表

二、网络连接配置

1、GNS3

R1配置

R1(config)#int f0/0

R1(config-if)#ip add

R1(config-if)#ip address 10.47.1.1 255.0.0.0

R1(config-if)#no sh

R1(config-if)#no shutdown

R1(config-if)#

R1(config-if)#int f

R1(config-if)#int f1/0

R1(config-if)#ip add

R1(config-if)#ip address 14.47.1.1 255.0.0.0

R1(config-if)#no sh

R1(config-if)#no shutdown

R1(config-if)#ex

R1(config)#router rip

R1(config-router)#net

R1(config-router)#network 10.47.1.0

R1(config-router)#net

R1(config-router)#network 14.47.1.0

R1(config-router)#ex

 

 

R2配置

 

R2#configure

R2(config)#

R2(config)#int f0/0

R2(config-if)#ip add

R2(config-if)#ip address 10.47.1.2 255.0.0.0

R2(config-if)#no sh

R2(config-if)#no shutdown

R2(config-if)#ex

R2(config)#ro

R2(config)#router rip

R2(config-router)#net

R2(config-router)#network 10.47.1.0

R2(config-router)#ex

 

 

R3配置

R3#configure

R3(config)#

R3(config)#int f0/0

R3(config-if)#ip add

R3(config-if)#ip address 10.47.1.3 255.0.0.0

R3(config-if)#no sh

R3(config-if)#no shutdown

R3(config-if)#

R3(config-if)#ex

R3(config)#

R3(config)#router rip

R3(config-router)#net

R3(config-router)#network 10.47.1.0

R3(config-router)#ex

 

 

R4配置

 

R4#configure

R4(config)#int f1/0

R4(config-if)#ip add

R4(config-if)#ip address 14.47.1.4 255.0.0.0

R4(config-if)#no sh

R4(config-if)#ex

R4(config)#ip add

R4(config)#router ri

R4(config)#router rip

R4(config-router)#net

R4(config-router)#network 14.47.1.0

R4(config-router)#ex

R4(config)#end

ping通情况

R4ping R2

R3pingR4

自从网络做通

（1）路由器的配置

R1配置

配置默认不需要认证就可以通过的数据，如telnet

R1(config)#acce

R1(config)#access-list 100 per

R1(config)#access-list 100 permit tcp an an eq telnet

配置认证之后才能通过的数据，如ICMP，绝对时间为2分钟。

R1(config)#acc

R1(config)#access-list 100 dy

R1(config)#access-list 100 dynamic ccie time

R1(config)#access-list 100 dynamic ccie timeout 2 per

R1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any

R1(config)#int f

R1(config)#int fastEthernet 0/0

R1(config-if)#ip acc

R1(config-if)#ip acce

R1(config-if)#ip access-group 100 in

 

配置本地用户数据库

R1#configure

R1(config)#

R1(config)#userna

R1(config)#username ccie pas

R1(config)#username ccie password cisco

配置所有人的用户名具有访问功能

R1(config)#line vty 0 181

R1(config-line)#log

R1(config-line)#login loc

R1(config-line)#login local

R1(config-line)#auto

R1(config-line)#autocom

R1(config-line)#autocommand acc

R1(config-line)#autocommand acce

R1(config-line)#autocommand access-enable

（1）结果测试

1、测试内网R2 telnet 外网R4

 

说明：从结果中看出，telnet不受限制。

2、测试测试内网R2 ping外网R4

说明：内网在没有认证之前，ICMP是无法通过的。

3、内网R2做认证

说明：当telnet路由器认证成功后，是会被关闭会话的

4、测试内网到外网的ICMP通信功能

说明：认证通过之后，ICMP被放行。

 

5、测试测试内网R2 ping外网R4

6、查看ACL状态

说明：可以看到动态允许的流量已放行。

 

总结：

动态ACL的优点能够自动创建动态访问表项的访问列表，传统的标准访问列表和扩展的访问列表不能创建动态访问表项并且简化大型网际网络的管理。基于上下文的访问控制的优点是提供了四个功能，流量过滤、流量检测、入侵检测、一般的告警和审计。