题目
新建拓扑
以上是有两个网段,配置好对应的IP地址(为什么用路由器来当PC端,因为ensp中电脑没办法开启telnet去远程控制,所以拿路由器来充当现实生活中的PC端)
配置ip
配置ip地址就不演示了,以前的实验里面有可以看看。
注意:为了全网可达,这里我们通过配置缺省路由,当然其他的方法也可以(rip ospf ....)
有去有回(r2也要配)
启动telnet服务
命令:
Telnet:远程登录 -基于TCP 23号端口工作
设备开启远程登录
[r1]aaa
[r1-aaa]local-user panxi privilege level 15 password cipher 123456
账户panxi 权限15级(超级管理员 ) 密码123456
[r1-aaa]local-user panxi service-type telnet
定义该账户为telnet使用
[r1-aaa]q
先创建远程登录的账号、权限、密码,定义账号功能
[r1]user-interface vty 0 4 开启telnet功能
[r1-ui-vty0-4]authentication-mode aaa
如图:
配置ACL
ACL:访问控制列表 -- 策略
作用:
- 访问控制 -- 在路由器流量进或出的接口上,匹配流量,产生动作-- 允许、拒绝
- 定义感兴趣流量 --- 协同其他协议,抓取兴趣流量提供给其他协议进行策略
匹配规则:
至上而下逐一匹配,上条匹配按上条执行,不再查看下一条;
思科系设备在列表末尾隐含一条拒绝所有。
华为系设备在列表末尾隐含一条允许所有。
分类:
- 标准ACL-- 仅关注数据包里面的源ip地址;
- 扩展ACL-- 同时关注数据包中源、目标ip地址,还可以同时关注目标端口号或协议号。
注意:
标准ACL的配置--- 由于标准ACL,仅关注数据包中的源ip地址,故调用时应该尽量的靠近目标,避免误删。
一台路由器上可以创建多张ACL列表,一张列表中可以存在N条规则;但一个接口的一个方向上只能调用一张列表
编号2000-2999 为标准列表 3000-3999为扩展列表
根据题目要求,这里我们选择扩展ACL
分析题目,提取出要拒绝的服务,因为华为系设备在列表末尾隐含一条允许所有。
举例代码:
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
[r1-acl-adv-3000]rule deny(拒绝) ip source 192.168.2.0 0.0.0.255 destination 192.168.4.2 0
[r1-acl-adv-3000]rule permit(允许) ip source any destination any
动作 源ip 目标ip
[r1]interface g0/0/0 接口调用,注意方向
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
扩展acl的扩展应用 -- 在关注数据包中的源、目标ip地址的同时,还关注目标端口号
[r1-acl-adv-3002]rule deny tcp source 192.168.1.4 0 destination 192.168.1.1 0 destination-port eq 23
动作 协议 源ip 目标ip 目标端口号
以上策略,拒绝了 192.168.1.4对192.168.1.1的TCP目标端口23的访问-- 拒绝telnet
[r1-acl-adv-3003]rule deny icmp source 192.168.1.4 0 destination 192.168.1.1 0
动作 协议 源ip 目标ip
以上动作为拒绝192.168.1.4对192.168.1.1的ICMP访问--拒绝ping
配置部分图片:
检查:
调用该ACL表(要注意是进栈还是出栈的方向)
测试:
拿PC1 ping r1和telnet登入r1
达到题目要求
成功远程登入r1,这里注意password这里输入密码是不会显示的,并不是出问题。
拿pc1 ping r2,和拿pc1 telnet登入r2
可以ping通符合题目
登入r2不通,符合题目