002.IOS实验.pdf

LAB1 增强的ACL 修改功能 实验拓扑 实验需求 实现ACL 的插入功能 实验概述 在12.2T8以前Cisco ACL不支持插入的功能.Cisco在IOS 12.2T8 及以后 的版本中增强了ACL的修改功能，用户可以向现在ACL的任意部位插入新的 语句。下面，我们先来比较一下在IOS 12.2T8之前和之后的IOS中分别使用 show access-list命令的输出内容。 IOS 12.2(31)中的show access-list 输出： Router(config)# access-list 101 permit ip host host Router(config)# access-list 101 permit ip host host Router(config)# end Router# show access-lists 101Extended IP access list 101 permit ip host host permit ip host host IOS 12.2(15)T16 中的show access-list 输出： Router(config)# access-list 101 permit ip host host Router(config)# access-list 101 permit ip host host Router(config)# do show access-list 101 Extended IP access list 101 从输出中，我们可以看到IOS 12.2(15)T16 的show access-list 输出在列 表中的每条语句之前加了序列号（10和20）。 下面，我们使用一个例子来 说明如何向列表中间插入新的语句。 Router(config)# ip access-list extended 101 Router(config-ext-nacl)# 15 permit ip host host 使用show access-list命令检验： Router# show access-list 101 Extended IP access list 101 10 permit ip host host 15 permit ip host host 20 permit ip host host 从上面的输出中，我们可以看到：由于新插入语句的序列号为15，因此 它插在了序列号为10和20的两句话中间。 我们还可以使用ip access-list resequence access-list-number start-number increase-number 命令对访问控制列表的序列号进行重新编 号，例如： Router(config)# ip access-list resequence 101 10 10 Router(config)# do sh access-list 101 Extended IP access list 101 10 permit ip host host 20 permit ip host host 30 permit ip host host 命令 “ip access-list resequence 101 10 10”中，第一个 “10”代表序 列号从10 开始计算，第二个 “10”代表序列号每次增加以 10 为一跳 LAB2.扩展ACL 中的基于TCP 的established 关 键字 实验拓扑: 实验需求: 实现TCP 流量的返回操作,确保由内部发起的流量能够返回. 实验步骤: 在扩展ACL语句的最后，我们可以加上established参数.它可以用来作TCP 的单向访问控制.在开始正式讲述之前,我们先来回顾一下TCP建立连接的 过程: 上图显示了TCP建立连接的过程，从图中，我们可以看出：A发给B的第 一个数据段中没有ACK位，通过这点我们就可以判断A在向B发起连接。扩展 Acl中的established可以根据数据段中是否设置了ACK位来对分组进行过