实验拓扑
实验需求
- R1不能访问R3(配置基础ACL),R1往右走所有流量全部中断。
- R1不能访问R3(配置高级ACL),但可以正常访问其他设备。
- R1不能ping通R3(配置高级ACL),但是可以telnetR3,并且可以正常访问其他设备。
实验步骤
- R1不能访问R3(基础ACL),R1往右走所有流量全部中断。
(1)分别配置路由器接口IP。
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.1.2 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 192.168.2.2 24
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 192.168.2.3 24(2)运行ospf使区域互通。
[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[R2]ospf
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[R3]ospf
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255使用命令display ospf peer brief,查看ospf的邻居关系。当邻居关系表中的State为Full时,表示邻居关系建立完毕。此时在R1上pingR3,测试连通性。
(3)在R2上配置基础acl。
[R2]acl 2000 //基础acl编号为2000-2999
[R2-acl-basic-2000]rule deny source 192.168.1.1 0 //配置基础acl,拒绝源IP为192.168.1.1的所有流量
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 //在接口上应用acl规则验证:
2. R1不能访问R3(配置高级ACL),但可以正常访问其他设备。
(1)在R2上重新配置高级acl。
先在R2系统视图中使用命令undo acl all或者undo acl 2000清除相应的acl,接口上的acl在接口视图使用命令undo traffic-filter inbound/outbound清除。
[R2]acl 3000
[R2-acl-adv-3000]rule deny ip source 192.168.1.1 0 destination 192.168.2.3 0
[R2-acl-adv-3000]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000(2)测试
3 .R1不能ping通R3,但是可以telnetR3,可以正常访问其他设备。
(1)开启R3的telnet服务(aaa模式)。
[R3]user-interface vty 0 4
[R3-ui-vty0-4]authentication-mode aaa
[R3-ui-vty0-4]aaa
[R3-aaa]local-user admin password cipher 123456
[R3-aaa]local-user admin service-type telnet
[R3-aaa]local-user admin privilege level 15在R1上telnetR3,可以正常登录。
(2)在R2上配置高级 ACL,使得 R1不能ping通R3,但可以telnetR3,而且可以正常访问其他设备。
由于ping命令基于ICMP协议,所以此处我们拒绝ICMP协议的流量,ping命令自然失效。
[R2]acl 3001
[R2-acl-adv-3001]rule deny icmp source 192.168.1.1 0 destination 192.168.2.3 0
[R2-acl-adv-3001]int g0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 3001
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
