H3C 扩展ACL与基于时间的ACL

1.网络之间开启rip动态协议！

2.配置R3为ftp服务器

[R3]ftp server enable

3.测试R1能否访问ftp！可以

<R1>ftp 3.3.3.3

Trying 3.3.3.3 ...

Press CTRL+K to abort

Connected to 3.3.3.3.

220 FTP service ready.

User(3.3.3.3:(none)):

4.配置扩展ACL

[R1]firewall enable

[R2]acl number 3000

[R2-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination-port eq ftp

应用到接口

[R2-Serial0/2/0]firewall packet-filter 3000 inbound

5.测试此时R1还能不能访问FTP，答案是不能！

<R1>ftp 3.3.3.3

Trying 3.3.3.3 ...

Press CTRL+K to abort

FTP: Can't connect to the remote host!

基于时间的ACL

实验人：高承旺

实验名称：扩展ACL

实验要求：

不让R1访问FTP服务器

实验拓扑：

实验步骤：

1.把上面实验配置的acl删除，查看ftp访问情况

<R1>ftp 3.3.3.3

Trying 3.3.3.3 ...

Press CTRL+K to abort

Connected to 3.3.3.3.

220 FTP service ready.

User(3.3.3.3:(none)):

2.配置扩展ACL

<R2>display clock

12:16:12 UTC Fri 12/17/2010

3.我们修改一下时间，让R1不能访问ftp服务器！

<R2>clock datetime 02:00 2010/12/17

R1不能访问ftp服务器

<R1>ftp 3.3.3.3

Trying 3.3.3.3 ...

Press CTRL+K to abort

FTP: Can't connect to the remote host!

363. 在路由器MSR-1 上看到如下提示信息：

[MSR-1]display firewall-statistics all

Firewall is enable, default filtering method is 'permit'.

Interface: GigabitEthernet0/0

In-bound Policy: acl 3000

Fragments matched normally

From 2008-11-08 2:25:13 to 2008-11-08 2:25:46

0 packets, 0 bytes, 0% permitted,

4 packets, 240 bytes, 37% denied,

7 packets, 847 bytes, 63% permitted default,

0 packets, 0 bytes, 0% denied default,

Totally 7 packets, 847 bytes, 63% permitted,

Totally 4 packets, 240 bytes, 37% denied.

据此可以推测__abc____。

A. 由上述信息中的37% denied 可以看出已经有数据匹配ACL 3000 中的规则

B. 有一部分数据包没有匹配ACL 3000 中的规则，而是匹配了默认的permit 规则

C. ACL 3000 被应用在GigabitEthernet0/0 的inbound 方向