CCNA实验:ACL访问控制列表的使用
实验如图所示:要求使用ACL,使得图中红色字体条件成立。
底层配置如下,此时需要补充一下静态路由,使得全网可达。路由如下:
R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1
然后我们需要在两台路由器上开启远程登录,这里只以R2为例:
R2(config)#username ccna privilege 15 password cisco123
R2(config)#line vty 0 4
R2(config-line)#login local
接下来开始理思路:
首先我们用拒绝的思路来理一下,让其他允许即可:
pc0不可以Telnet R1,说明不可以登录192.168.1.1、192.168.2.1两个IP。
pc0不可以ping R2,说明192.168.1.2 ping 不通 192.168.2.2
pc1不可以ping R1,说明192.168.1.3 ping 不通 192.168.1.1、192.168.2.1
pc1不可以Telnet R2,说明不可以登录192.168.2.2
R1(config)#ip access-list extended a
R1(config-ext-nacl)#deny tcp host 192.168.1.2 host 192.168.1.1 eq 23
R1(config-ext-nacl)#deny tcp host 192.168.1.2 host 192.168.2.1 eq 23
R1(config-ext-nacl)#deny icmp host 192.168.1.2 host 192.168.2.2
R1(config-ext-nacl)#deny icmp host 192.168.1.3 host 192.168.1.1
R1(config-ext-nacl)#deny icmp host 192.168.1.3 host 192.168.2.1
R1(config-ext-nacl)#deny tcp host 192.168.1.3 host 192.168.2.2 eq 23
R1(config-ext-nacl)#permit ip any any
调用:
R1(config)#int f0/0
R1(config-if)#ip access-group a in