ACL测试(单向阻止)20121108.docVIP

ACL测试 测试拓扑 测试一： 目的 仅permit 192.168.2.220/32访问192.168.1.0/24，观察192.168.2.0/24其它主机和192.168.1.0/24的互访的状态。 2、配置 interface FastEthernet0/0 ip address 192.168.2.1 255.255.255.0 ip access-group permit_acl in ip access-list extended permit_acl permit ip host 192.168.2.220 192.168.1.0 0.0.0.255 说明 192.168.2.220/32和192.168.1.0/24可以实现完全互访；192.168.2.0/24其它主机访问192.168.1.0/24被阻止；192.168.1.0/24访问192.168.2.0/24其它主机被阻止（回程数据被阻止）。 测试二： 1、目的 使用带Established参数的ACLinterface FastEthernet0/0 ip address 192.168.2.1 255.255.255.0 ip access-group deny_acl in ip access-list extended deny_acl permit ip host 192.168.2.210 192.168.1.0 0.0.0.255 permit icmp 192.168.2.0 0.0.0.255 any permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 192.168.2.0 0.0.0.255 any 3、说明 192.168.2.0/24（除了192.168.2.210/32）访问192.168.1.0/24的tcp应用被阻止，其它访问均不受影响（包括192.168.2.0/24访问192.168.0.0/24）。 测试三： 1、目的 通过自反ACL对192.168.2.0/24到192.168.1.0/24的访问进行控制，而对192.168.1.0/24到192.168.2.0/24的访问全部放开。 2、配置 interface FastEthernet0/0 ip address 192.168.2.1 255.255.255.0 ip access-group flow-in in ip access-group flow-out out ip access-list extended flow-in evaluate ref permit ip host 192.168.2.210 192.168.1.0 0.0.0.255 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 192.168.2.0 0.0.0.255 any ip access-list extended flow-out permit ip any 192.168.2.0 0.0.0.255 reflect ref 3、说明 192.168.2.0/24（除了192.168.2.210/32）访问192.168.1.0/24的所有ip应用被阻止，其它访问均不受影响（包括192.168.2.0/24访问192.168.0.0/24）。 注意： 4506E和4948不支持自反ACL。 在4506E上测试ACL ip access-list extended deny_acl permit ip host 10.1.129.120 any permit icmp 10.1.129.64 0.0.0.63 any permit tcp 10.1.129.64 0.0.0.63 10.1.131.128 0.0.0.63 established deny ip 10.1.129.64 0.0.0.63 10.1.131.128 0.0.0.63 permit ip 10.1.129.64 0.0.0.63 any interface VLAN 106 ip access-group deny_acl in 结果是10.1.129.64/26（除10.1.129.120之外）访问10.1.131.128/26受阻（tcp/udp应用），其余应用均正常。