路由交换——ACL

路由交换——ACL实验

实现拓扑

1. 配置IP地址

R1

R2

R3

2. 配置EIGRP

R1

R2

R3

3. 配置Standard ACL，使172.103.1.0/24这个子网无法访问R3的网络
   

问题1：配置后在R1上直接ping 130.103.1.3，能否ping通？为什么？

能ping通，因为R3只禁止了来自172.103.1.0网段的信息，而在R1上ping R3使用的端口是192.103.1.1，所以没有被禁止。

问题2：使用扩展ping，用172.103.1.1做源地址，能否ping通？

不能ping通

4. 配置ACL，实现允许172.103.2.0子网telnet到130.103.0.0，不允许其他子网的用户telnet到130.103.0.0，同时不能妨碍其他数据传递

R3

R2

问题3：在R1上telnet 130.103.2.3，以172.103.2.1作为源地址，能否登陆？如果以172.103.3.1或172.103.4.1为源地址，能否登陆？

源地址为172.103.2.1能登陆

以172.103.3.1或172.103.4.1为源地址不能登陆

5. 配置命名访问控制列表，实现 172.16.0.0 能够 telnet 130.130.0.0，而 130.130.0.0 无法 telnet到 172.16.0.0

R1上配置

R2配置

问题 4：在 R1 上 telnet 130.130.2.3，以 172.16.2.1 作为源地址，能否登陆？如果以 172.16.3.1或 172.16.4.1 为源地址，能否登陆？为什么？

以 172.16.2.1 作为源地址能登陆，因为ACL允许172.103.2.1访问130.103.2.3

以 172.16.3.1或 172.16.4.1 为源地址不能登陆

问题 5：在 R3 中 telnet 172.16.2.1，以 130.130.1.3 为源地址，能否登陆？为什么？

以130.130.1.3 为源地址不能登陆，因为ACL只允许172.103.2.1 telnet 130.103.1.3，没有允许130.103.1.3 telnet 172.103.2.1

问题 6：此时在 R3 中 ping 172.16.2.1，以 130.130.1.3 为源地址，能否 ping 通？

能ping通

6. 在命名访问控制列表 r1tor3 中的第二条和第三条之间添加两条规则，添加后删除这两条中的一条
   

7. 配置命名访问控制列表，实现 172.16.0.0 能够访问 130.130.0.0，而 130.130.0.0 无法访问到 172.16.0.0
   

问题 7：在 R2 上用 show access-lists ref_xcu1 查看反射访问控制列表 ref_xcu1 的内容，里面是否为空？

为空

问题 8：配置后，在 R1 中以 172.16.2.1 为源地址 ping 130.130.2.3，看能否 ping 通？在 R3中以 130.130.2.3 为源，ping 172.16.2.1 能否 ping 通？

能ping通

不能ping通

问题 9：在 R1 中以 172.16.2.1 为源地址 telnet 130.130.2.3，看能否登陆成功？在 R3 中以130.130.2.3 为源，telnet 172.16.2.1 能否登陆成功？

登陆成功

不能登陆

问题 10：做完问题 8 和问题 9 后马上在路由器 R2 上用 show access-lists ref_xcu1 查看反射访问控制列表 ref_xcu1 的内容，和问题 7 看到的有什么不同？

多了一条允许telnet的信息

8. 创建动态 ACL 实现 R1 必须先成功登录 R2 才能访问 R3 的功能。

在R2实现远程登陆

问题 11：配置后在 R2 中查看访问控制列表 dynamic_xcu，有几条选项？

有三个选项

问题 12：配置后直接在 R1 中输入 telnet 130.130.2.3 /source-interface lo2 能否登陆成功？

不能登陆

问题 13：在 R1 中用 telnet 192.168.1.2 /source-interface lo2 登陆 R2，马上在 R2 中查看访问控制列表 dynamic_xcu，有几条选项？

有四条选项

问题 14：此时再次在 R1 中输入 telnet 130.130.2.3 /source-interface lo2 能否登陆成功？

成功登陆