在开始实验前,首先对几台设备进行IP地址配置,配置思路如下:
IP地址规划完成并实现全网可达之后,对题目进行分析得出,该实验需要关注源IP地址、目标IP地址及目标端口;随后使用下列命令来完成实验:
要开启远程登录服务(telnet),首先要在R1和R2的aaa管理中定义登录的账号及密码(aaa是负责账号审计的服务)
[R1]aaa
[R1-aaa]local-user zhangshuai privilege level 15 password cipher 123456
账号 密码
之后在管理接口上用认证模式为aaa审计
[R1]user-interface vty 0 4 (vty为虚拟管理接口)
[R1-ui-vty0-4]authentication-mode aaa
[R2]aaa
[R2-aaa]local-user zhang privilege level 15 password cipher 123456
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode aaa
对R1进行如下配置
[R1]acl 3000 【启动ACL,编号为3000(扩展ACL的编号为3000-3999)】
[R1-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.1.2 0
协议 源IP 目标IP
destination-port eq 23
端口号
以上命令的意义,在于拒绝了源192.168.2.2对目标192.168.1.2的TCP下目标端口23访问,即拒绝telnet登录
[R1-acl-adv-3000]rule deny icmp source 192.168.2.2 0 destination 192.168.2.1 0
以上命令意义为,拒绝源192.168.2.2对目标192.168.2.1的ICMP访问,即拒绝了ping
[R1-acl-adv-3000]rule deny tcp source 192.168.2.3 0 destination 192.168.2.1 0 de
stination-port eq 23
[R1-acl-adv-3000]rule deny icmp source 192.168.2.3 0 destination 192.168.1.2 0
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 (接口调用)
进行上述命令配置后,便可以完成实验,ACL访问控制列表如下: