トポロジは、再帰のために使用することができる ACL、動的ACL、時間ベースのACL。
|
デバイス |
インタフェース |
IPアドレス |
サブネットマスク |
デフォルトゲートウェイ |
| R1
|
FA0 / 0 |
10.118.1.1 |
255.255.255.0 |
N / A |
| FA0 / 1 |
14.118.1.4 |
255.255.255.0 |
N / A |
|
| R2 |
FA0 / 0 |
10.118.1.2 |
255.255.255.0 |
N / A |
| R3 |
FA0 / 0 |
10.118.1.3 |
255.255.255.0 |
N / A |
| R4 |
FA0 / 1 |
14.118.1.4 |
255.255.255.0 |
N / A |
実験オール前に PINGパステスト
( 1)ICMPの設定は、他に戻す前にマークする必要があり、マーカーがネットワークに入ることを可能にすることができません
R1(設定)#ipのアクセスリストが来る延長しました
R1(CONFIG-EXT-NaCl)を任意ICMPはマーカーのネットワークに入ることを許可されていない任意のICMP #permit
R1(設定-EXT-のNaCl)#evaluate ABCネットワークに侵入する他、それはABCとしてマークする必要があります
( 2)アプリケーションACL
R1(設定)#INT F0 / 1
R1(設定 - 場合)#ipのアクセスグループがでてきます
- テスト結果
( 1)試験ICMPネットワークR4にアクセスする外部ネットワーク
注意:あなたが見ることができる、 ICMPは、任意のアクセスです。
(2)試験外部ネットワーク R4用のTelnetネットワーク
注意:あなたが見ることができ、他に ICMPの外、他のトラフィックがネットワークに入ることができません。
(3)テスト・ネットワーク内のアクセスネットワークICMPのR2
あなたがネットワークに送ることがわかります。なお、外部ネットワークにICMPをするだけでなく、正常に戻りました
(4)测试内网R2发起telnet到外网的
(5)配置内网出去时,telnet被记录为abc,将会被允许返回
r1(config)#ip access-list extended goto
r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60 telnet已记为abc
r1(config-ext-nacl)#permit ip any any
(6)应用ACL
r1(config)#int f0/1
r1(config-if)#ip access-group goto out
4.测试结果
(1)查看R2到外网的ICMP
说明:ICMP属正常
(2)查看内网向外网发起telnet
r2#telnet 14.118.1.4
Trying 14.118.1.4 ... Open
说明:可以看出,此时内网发向外网的telnet因为被标记为abc,所以在回来时,开了缺口,也就可以允许返回了。
(3)查看ACL
说明:可以看到,有一条为abc的ACL为允许外网到内网的telnet,正是由于内网发到外网的telnet被标记了,所以也自动产生了允许其返回的ACL,并且后面跟有剩余时间。