ACL技术在组网中的应用
一实验要求:
- PC1可以访问Telnet R1 , 不能ping R1
- PC1不能访问Telnet R2,但可以pingR2
- PC2不可以访问Telnet R1,能ping R1
- PC2能访问Telnet R2,但不可以ping R2
二实验操作
首先,实验拓补图如下:
由图可知,由路由器模拟PC1与PC2
首先 先配置PC 的 IP
[PC1]int g0/0/0
[PC1-GigabitEthernet0/0/0]ip add 192.168.1.10 24
[PC2]int g0/0/0
[PC2-GigabitEthernet0/0/0]ip add 192.168.1.11 24
由R1来做两台PC的网关 所以配置
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
我们通过默认路由模拟网关
[PC1]ip route-static 0.0.0.0 0 192.168.1.254
[PC2]ip route-static 0.0.0.0 0 192.168.1.254
配置完成之后,我们利用PC ping网关测试是否正确
则我们网关以及配置成功
我们将剩下的IP配完
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.2.1 24
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.2.2 24
在实现题中要求是,我们首先要实现全网通(因为设备较少,此处使用静态路由达成全网通,其他方法均可)
[R2]ip route-static 192.168.1.0 24 192.168.2.1
此时,已经实现了全网通,我们利用ping命令验证
第二步,配置Telnet协议
[R1]aaa
[R1-aaa]local-user tan(账号) privilege level 15 password cipher 12345(密码)
[R1-aaa]local-user tan service-type telnet
[R1-aaa]quit
[R1]user-in
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa
[R1-ui-vty0-4]quit
[R2]aaa
[R2-aaa]local-user jia(账号) privilege level 15 password cipher 12356(密码)
[R2-aaa]local-user jia service-type telnet
[R2-aaa]quit
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode aaa
此时,我们Telnet协议配置完成
我们来验证一下是否能用pc登陆
输入账密如上
第三步 配置访问控制列表(acl)
题中要求为PC1可以访问R1但不能ping R1
因此:
[R1]acl 3000
[R1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.
1.254 0.0.0.0
[R1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.
2.1 0.0.0.0
PC1不能访问R2 但是可以ping R2:
[R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2
.2 0.0.0.0 destination-port eq 23
PC2不能访问 R1 可以pingR1,能访问R2 不能pingR2:
[R1-acl-adv-3000]rule deny tcp source 192.168.1.11 0.0.0.0 destination 192.168.2
.1 0.0.0.0 destination-port eq 23
[R1-acl-adv-3000]rule deny tcp source 192.168.1.11 0.0.0.0 destination 192.168.1
.254 0.0.0.0 destination-port eq 23
[R1-acl-adv-3000]rule deny icmp source 192.168.1.11 0.0.0.0 destination 192.168.
2.2 0.0.0.0
我们来查看我们写的规则
如图所示
我们在in方向实行(0/0/1出方向也可)
[R1-acl-adv-3000]quit
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
全部配置 save保存
至此,实验配置结束
三实验:
我们先检查ping命令:
由实践可知,pc1与pc2配置正确
我们再来检查Telnet服务配置:
由图可知 实验完成