基本的配置,全网运行OSPF
R1
un ter mo
sys
sysname R1
int loo0
ip add 1.1.1.1 32
int g0/0/0
ip add 192.168.13.1 24
q
ospf router-id 1.1.1.1
area 0
net 1.1.1.1 0.0.0.0
net 192.168.13.1 0.0.0.0
q
R2:
un ter mo
sys
sysname R2
int loo0
ip add 2.2.2.2 32
int g0/0/0
ip add 192.168.23.2 24
q
ospf router-id 2.2.2.2
area 0
net 2.2.2.2 0.0.0.0
net 192.168.23.2 0.0.0.0
R3:
un ter mo
sys
sysname R3
int loo0
ip add 3.3.3.3 32
int g0/0/0
ip add 192.168.13.3 24
int g0/0/1
ip add 192.168.23.3 24
int g0/0/2
ip add 192.168.34.3 24
q
ospf router-id 3.3.3.3
area 0
net 3.3.3.3 0.0.0.0
net 192.168.13.3 0.0.0.0
net 192.168.23.3 0.0.0.0
net 192.168.34.3 0.0.0.0
R4:
un ter mo
sys
sysname R4
int loo0
ip add 4.4.4.4 32
int g0/0/0
ip add 192.168.34.4 24
q
ospf router-id 4.4.4.4
area 0
net 4.4.4.4 0.0.0.0
net 192.168.34.4 0.0.0.0
q
R1 ping p4 显示,没有问题
配置 acl
R3:
acl 2000
rule deny source 192.168.13.0 0.0.0.255
rule permit
int g0/0/0
traffic-filter inbound acl 2000结果 无法ping 通
进行抓包,显示无法ping 没有进行回应,一直处于发送状态。 可能由于延时,ACL的指令生成会慢一些。
telent 与 ping的差别
1.ping 是ICMP协议,只包含控制信息没有端口; telnet是TCP协议,有端口能承载数据;
2.不能telnet并不代表不能ping, 这是两种不同的数据包, 防火墙可以设置哪种数据包可以通过;
3.能telnet通,但是不能ping通,有可能是对方主机关闭了ping回显或者是对方防火墙阻止了ping发送的数据包;
4.如果别人不能telnet本机,最简单的测试办法是:telnet 127.0.0.1 如果失败说明本机的telnet服务没有开启,如果成功说明本机防火墙做了限制;
高级ACL配置
配置与上面的基本ACL相同
设置ACL ,拒绝R1 上的1.1.1.1 ping 4.4.4.4
R4:
acl 3000
rule deny ip source 1.1.1.1 0 destination 4.4.4.4 0
int g0/0/0
traffic-filter inbound acl 3000 //接口下调用ACL 3000
结果如图所示 无法ping通
将R4指令删除
undo acl 3000
第二种配置
要求R1 可以ping,但不能 telnet R4
R3:
acl 3000
rule deny tcp source 192.168.13.1 0 destination 192.168.34.4 0 destination-port eq 23
#eq是等于的意思,23可换成telnet telnet 服务的默认端口是 23
rule permit ip
int g0/0/0
traffic-filter inbound acl 3000
结果如图所示
达到我们的要求
R3: display acl 3000 查看被匹配到的条目数
1929
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
