一、实验拓扑
二、实验需求(本实验用路由器代替电脑PC)
1.PC1可以Telnet登录R1,不能ping通R1
2.PC1可以ping通R2,不能Telnet登录R2
3.PC2可以ping通R1,不能Telnet登录R1
4.PC2可以Telnet登录R2,不能ping通R2
三、实验思路
1、基于网段划分并配置IP
2、通过路由实现全网可达
3、在R1和R2上配置Telnet远程登录
4、配置扩展ACL命令
5、结果测试
四、实验步骤
1、配IP
R1
R2
PC1
PC2
路由
测试(全网可达)
2、Telnet远程登录
R1
R2
3、ACL扩展配置
五、实验结果
PC1
PC2
六、附页
配置命令及注释:
Telnet:远程登录 -基于TCP 23号端口工作
设备开启远程登录
[r1]aaa
[r1-aaa]local-user tyl privilege level 15 password cipher 123
账户panxi 权限15级(超级管理员 ) 密码123
[r1-aaa]local-user tyl service-type telnet
定义该账户为telnet使用
[r1-aaa]q
先创建远程登录的账号、权限、密码,定义账号功能
ACL扩展配置
[r1]user-interface vty 0 4 开启telnet功能
[r1-ui-vty0-4]authentication-mode aaa
[r1-acl-adv-3000]rule deny tcp source 192.168.1.3 0 destination 192.168.1.1 0 destination-port eq 23 动作 协议 源IP 目标IP 目标端口号
以上策略,拒绝了 192.168.1.3对192.168.1.1的TCP目标端口23的访问-- 拒绝telnet
[r1-acl-adv-3003]rule deny icmp source 192.168.1.2 0 destination 192.168.1.1 0动作 协议 源IP 目标IP
以上动作为拒绝192.168.1.2对192.168.1.1的ICMP访问--拒绝ping
[r1]interface g0/0/0 接口调用,注意方向
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000