路由交换——ACL实验
实现拓扑
- 配置IP地址
R1
R2
R3
- 配置EIGRP
R1
R2
R3
- 配置Standard ACL,使172.103.1.0/24这个子网无法访问R3的网络
问题1:配置后在R1上直接ping 130.103.1.3,能否ping通?为什么?
能ping通,因为R3只禁止了来自172.103.1.0网段的信息,而在R1上ping R3使用的端口是192.103.1.1,所以没有被禁止。
问题2:使用扩展ping,用172.103.1.1做源地址,能否ping通?
不能ping通
- 配置ACL,实现允许172.103.2.0子网telnet到130.103.0.0,不允许其他子网的用户telnet到130.103.0.0,同时不能妨碍其他数据传递
R3
R2
问题3:在R1上telnet 130.103.2.3,以172.103.2.1作为源地址,能否登陆?如果以172.103.3.1或172.103.4.1为源地址,能否登陆?
源地址为172.103.2.1能登陆
以172.103.3.1或172.103.4.1为源地址不能登陆
- 配置命名访问控制列表,实现 172.16.0.0 能够 telnet 130.130.0.0,而 130.130.0.0 无法 telnet到 172.16.0.0
R1上配置
R2配置
问题 4:在 R1 上 telnet 130.130.2.3,以 172.16.2.1 作为源地址,能否登陆?如果以 172.16.3.1或 172.16.4.1 为源地址,能否登陆?为什么?
以 172.16.2.1 作为源地址能登陆,因为ACL允许172.103.2.1访问130.103.2.3
以 172.16.3.1或 172.16.4.1 为源地址不能登陆
问题 5:在 R3 中 telnet 172.16.2.1,以 130.130.1.3 为源地址,能否登陆?为什么?
以130.130.1.3 为源地址不能登陆,因为ACL只允许172.103.2.1 telnet 130.103.1.3,没有允许130.103.1.3 telnet 172.103.2.1
问题 6:此时在 R3 中 ping 172.16.2.1,以 130.130.1.3 为源地址,能否 ping 通?
能ping通
-
在命名访问控制列表 r1tor3 中的第二条和第三条之间添加两条规则,添加后删除这两条中的一条
-
配置命名访问控制列表,实现 172.16.0.0 能够访问 130.130.0.0,而 130.130.0.0 无法访问到 172.16.0.0
问题 7:在 R2 上用 show access-lists ref_xcu1 查看反射访问控制列表 ref_xcu1 的内容,里面是否为空?
为空
问题 8:配置后,在 R1 中以 172.16.2.1 为源地址 ping 130.130.2.3,看能否 ping 通?在 R3中以 130.130.2.3 为源,ping 172.16.2.1 能否 ping 通?
能ping通
不能ping通
问题 9:在 R1 中以 172.16.2.1 为源地址 telnet 130.130.2.3,看能否登陆成功?在 R3 中以130.130.2.3 为源,telnet 172.16.2.1 能否登陆成功?
登陆成功
不能登陆
问题 10:做完问题 8 和问题 9 后马上在路由器 R2 上用 show access-lists ref_xcu1 查看反射访问控制列表 ref_xcu1 的内容,和问题 7 看到的有什么不同?
多了一条允许telnet的信息
- 创建动态 ACL 实现 R1 必须先成功登录 R2 才能访问 R3 的功能。
在R2实现远程登陆
问题 11:配置后在 R2 中查看访问控制列表 dynamic_xcu,有几条选项?
有三个选项
问题 12:配置后直接在 R1 中输入 telnet 130.130.2.3 /source-interface lo2 能否登陆成功?
不能登陆
问题 13:在 R1 中用 telnet 192.168.1.2 /source-interface lo2 登陆 R2,马上在 R2 中查看访问控制列表 dynamic_xcu,有几条选项?
有四条选项
问题 14:此时再次在 R1 中输入 telnet 130.130.2.3 /source-interface lo2 能否登陆成功?
成功登陆