此次实验,对于网段划分并没有要求,将路由器的接口随便配上一些可以达到全网通的IP地址即可。我用的如下图所示
基础配置就是在各个接口做ip address和缺省路由,在此便不再赘述。
为R1和R2开启aaa协议,使其可以被远程登录
R1
[R1]aaa(进入aaa)
[R1-aaa]local-user panxi privilege level 15 password cipher 123456(创建用户并设置密码)
[R1-aaa]local-user panxi service-type telnet(使用Telnet协议)
[R1]user-interface vty 0 4 (虚拟登录接口调用)
[R1-ui-vty0-4]authentication-mode aaa(开启aaa协议)
R2
[R2]aaa(进入aaa)
[R2-aaa]local-user qdx privilege level 15 password cipher 123456(创建用户并设置密码)
[R2-aaa]local-user qdx service-type telnet(使用Telnet协议)
[R2]user-interface vty 0 4(虚拟登录接口调用)
[R2-ui-vty0-4]authentication-mode aaa(开启aaa协议)
题目要求PC1可以Telnet登录R1,不能ping通R1,可以ping通R2,不能登录R2。因为扩展ACL精确匹配流量源、目地址,故调用时尽量靠近源头,避免资源浪费,所以在R1上做ACL规则限制。
具体代码:
[R1]acl 3000
[R1-acl-adv-3000]rule deny tcp source 192.168.2.2 0.0.0.0 destination 192.168.1.2 0.0.0.0 destination-port eq 23(拒绝PC1登录R2)
[R1-acl-adv-3001]rule deny icmp source 192.168.2.2 0.0.0.0 destination 192.168.2.1 0.0.0.0(拒绝PC1ping通R1)
[R1]int g 0/0/1(进入离源码最近的接口)
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000(在该接口上启用acl 3000规则,此处为数据流进口,所以使用inbound,如果是出口,则使用outbound)
实验结果:
PC1对于R1
PC1对于R2
题目对于PC2,与PC1的要求相反,即不可以Telnet登录R1,能ping通R1,不可以ping通R2,能登录R2
具体代码:
[R1]acl 3000
[R1-acl-adv-3000]rule deny tcp source 192.168.2.3 0.0.0.0 destination 192.168.2.1 0.0.0.0 destination-port eq 23(拒绝PC2登录R1)
[R1-acl-adv-3001]rule deny icmp source 192.168.2.3 0.0.0.0 destination 192.168.1.2 0.0.0.0(拒绝PC2ping通R2)
[R1]int g 0/0/1(进入离源码最近的接口)
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000(在该接口上启用acl 3000规则,此处为数据流进口,所以使用inbound,如果是出口,则使用outbound)
实验结果
PC2对于R1
PC2对于R2
实验要求至此全部完成。