43、maryc on figuredR1(co nfig-router)#*May1011:30:00.666:%DUAL-5-NBRCHANGE:IP-EIGRP(0)100:Neighbor201.100.11.2(Serial0/0/1)isres yn c:summaryc on figured*May1011:30:10.942:IP-EIGRP(Default-IP-Rout in g-Table:100):Neighbor192.168.1.1noton com mon sub netforFastEther netO/O*May1011:30:24.934:IP-EIGRP(Def 。

44、ault-IP-Rout in g-Table:100):Neighbor192.168.1.1noton com mon sub netforFastEther net0/0*May1011:30:38.838:IP-EIGRP(Default-IP-Rout in g-Table:100):Neighbor192.168.1.1noton com mon sub netforFastEther net0/0*May1011:30:53.090:IP-EIGRP(Default-IP-Rout in g-Table:100):Neighbor192.168.1.1noton com mon。

45、sub netforFastEther net0/0*May1011:31:07.222:IP-EIGRP(Default-IP-Rout in g-Table:100):Neighbor192.168.1.1noton com mon sub netforFastEther net0/0/之上系统显示异常的原因是网络有环路 ， 这里产生环路的连接是因为3560交换机和俩台2950交换机分别用交叉线连接 ， 三台路由器俩俩连接 ， 三台路由器分别和三台交换机连接 。
R1(c on fig)#ipaccess-listexte nded in gress-a ntspoofR1(co nfig-ext- na 。

46、cl)#de nyip10.0.0.00.255.255.255a nyR1(co nfig-ext- nacl)#de nyip192.168.0.00.0.255.255a nyR1(co nfig-ext- nacl)#de nyip172.16.0.00.15.255.255a ny172.16.0.0/12, 172.16.0.0 至 U 172.31.255.255 。
R1(co nfig-ext- nacl)#de nyip127.0.0.00.255.255.255a ny阻止源地址为私有地址的所有通信流 。
R1(co nfig-ext- nacl)#de nyip224.0.0. 。

47、015.255.255.255a ny/阻止源地址为回环地址的所有通信流 。
阻止源地址为多目的地址的所有通信流 。
224.0.0.0/4R1(co nfig-ext- nacl)#de nyip169.254.0.00.0.255.255a ny/链路本地地址 。
无法正常获取地址时,会分配给你 。
例如：图书馆无线上网无法正常获取地址 ， 会得到这样的地址 。
R1(co nfig-ext -n acl)#de nyiphostO.O.O.Oa ny阻止没有列出源地址的通信流 。
R1(c on fig-ext- nacl)#permitipa nyanyR1(c on fig-ext -n acl)#exR1(c 。

48、o nfig)#i ntsO/O/1R1(c on fig-if)#ipaccess-group in gress-a ntspoofi nRouter(co nfig)#hostR2Router(co nfig)#i ntsO/O/1Router(co nfig-if)#ipadd201.100.11.2255.255.255.0Router(c on fig-if)# no shutRouter(c on fig-if)#exR2(co nfig)# in tf0/0R2(co nfig-if)#ipadd192.168.1.1255.255.255.0R2(co nfig-if)# no 。

49、shutR2(co nfig-if)#exR2(co nfig)#routereigrp100R2(co nfig-router)# net201.100.11.0R2(co nfig-router)# net192.168.1.0R2(c on fig-router)# no auto在 R1 上 ， 配好 acl ， 从 pc2pingpcl, 显示：Relyfrom192.168.1.1: Destinationhostunreachableping192.5.5.2(pc1 的网关) ， 显示：RequesttimeoutRelyfrom192.168.1.1: Destinationhostun 。

50、reachableRequesttimeoutpi ng201.100.11.1Relyfrom201.100.11.1: Destinationnetunreachablepi ng201.100.11.2能ping 通 。
pc2192.168.1.2pc1192.5.5.1防止非法探测所以外部网络的非法访问者对内部网络发起攻击前 ， 通常会用ping或其他命令探测网络 ， 只要禁止从外部用ping traceroute等探测就能够防范 。
可使用如下的访问列表：access-list102de ny icmpa nyany echo阻止用ping探测网络 。
access-list102de ny icmp 。

51、a nyany time-exceeded阻止用traceroute探测网络 。
防止病毒传播和黑客攻击针对操作系统的漏洞 ， 有些病毒程序和漏洞扫描软件通过 UDP端口 135、137、138、1434 和TCP端口 135、137、139、445、4444、5554、9995、9996 等进行病毒传播和攻击 ， 可设置如下的访问控制列表阻止病毒传播和黑客攻击 。
有俩个路由器组建的网络就能够完成本实验 。
access-list101de ny udpa nyany eq135access-list101de ny udpa nyany eq137access-list101de ny udpa nyany。

52、eq138access-list101de ny udpa nyany eq1434access-list101de ny tcpa nyany eq135access-list101de ny tcpa nyany eq137access-list101de ny tcpa nyany eq139access-list101de ny tcpa nyany eq445access-list101de ny tcpa nyany eq4444access-list101de ny tcpa nyany eq5554access-list101de ny tcpa nyany eq9995acc 。

53、ess-list101de ny tcpa nyany eq9996access-list101permitipa nyany把ACL应用到路由器接口上：in terfacesO/O/1ipaccess-group101i n高级ACL实验：控制上网时间 ， 能够用基于时间的ACL来实现 。
1定义时间范围的名称time-ra ngetime-ra nge-n ametime-ra nge:用来定义时间范围的命令 。
time-ra nge-name:时间范围名称 ， 用来标识时间范围 ， 以便于在后面的访问列表中引用 。
2指定该时间范围何时生效定义壹个时间周期periodicdays-of-the-weekhh: 。

54、mmtodays-of-the-weekhh:mmperiodic 主要是以星期为参数来定义时间范围的壹个命令 。
它的参数主要有Mon day、Tuesday、Wednesday 、Thursday、Friday、Saturday、Sunday 中的壹个或者几个的组合 ， 也能够是daily(每天)、weekday (周壹至周五) ， 或者 weeke nd (周末) 。
定义壹个绝对时间absolutestarthh:mmday mon thyeare ndhh:mmday mon thyearabsolute 该命令用来指定绝对时间范围 。

稿源：(未知)

【傻大方】网址：/a/2021/0820/0023836618.html

标题：2020|2020年战略管理基于ACL的访问控制及安全策略的设计试验报告( 四 )