地址分配表
设备
接口
IP 地址
子网掩码
默认网关
RTA
G0/0
10.101.117.49
255.255.255.248
不适用
G0/1
10.101.117.33
255.255.255.240
不适用
G0/2
10.101.117.1
255.255.255.224
不适用
PCA
NIC
10.101.117.51
255.255.255.248
10.101.117.49
PCB
NIC
10.101.117.35
255.255.255.240
10.101.117.33
SWC
VLAN1
10.101.117.2
255.255.255.224
10.101.117.1
目标
第 1 部分:配置、应用并验证扩展编号 ACL
第 2 部分:思考题
背景/场景
在此场景中,系统允许一个 LAN 中的设备使用 Telnet 协议远程访问另一个 LAN 中的设备。除了 ICMP 之外,来自其他网络的所有流量都会被拒绝。
第 1 部分: 配置、应用并验证扩展编号 ACL
配置、应用并验证 ACL 以确保符合以下策略:
· 允许 10.101.117.32/28 网络中的设备产生的 Telnet 流量进入 10.101.117.0/27 网络中的设备。
· ICMP 流量可从任意源地址到达任意目的地址
· 进入 10.101.117.0/27 的所有其他流量都会被阻止。
第 1 步: 配置扩展 ACL。
a. 在 RTA 的相应配置模式下,使用最后一个有效的扩展访问列表编号来配置 ACL。按照以下步骤构建第一个 ACL 语句:
1) 最后一个扩展列表编号是 199。
2) 协议是 TCP。
3) 源网络是 10.101.117.32。
4) 通配符可通过从 255.255.255.255 中减去 255.255.255.240 来确定。
5) 目标网络是 10.101.117.0。
6) 通配符可通过从 255.255.255.255 中减去 255.255.255.224 来确定。
7) 协议是 Telnet。
第一个 ACL 语句是什么?
b. 允许 ICMP,并且需要第二个 ACL 语句。使用同一访问列表编号允许所有 ICMP 流量,无需考虑源地址或目的地址。 第二个 ACL 语句是什么?(提示:使用任意关键字)
c. 默认情况下,所有其他 IP 流量都被拒绝。
第 2 步: 应用扩展 ACL。
一般来说,要将扩展 ACL 放在靠近源地址的位置。但是,由于访问列表 199 会影响来源于网络 10.101.117.48/29 和 10.101.117.32/28 的流量,所以最好将该 ACL 放置在位于出站方向的千兆以太网 0/2 接口上。使用什么命令可以将 ACL 199 应用到千兆位以太网 0/2 接口?
第 3 步: 验证扩展 ACL 实施。
a. 从 PCB 对网络中的所有其他 IP 地址执行 ping 操作。如果执行 ping 操作不成功,请在继续之前验证 IP 地址。
b. 从 PCB 通过 Telnet 连接到 SWC。密码是 cisco。
c. 退出 SWC 的 Telnet 服务。
d. 从 PCA 对网络中的所有其他 IP 地址执行 ping 操作。如果执行 ping 操作不成功,请在继续之前验证 IP 地址。
e. 从 PCA 通过 Telnet 连接到 SWC。访问列表导致路由器拒绝连接。
f. 从 PCA 通过 Telnet 连接到 SWB。访问列表位于 G0/2 上,而且不会影响此连接。
g. 在登录 SWB 后,请不要退出。通过 Telnet 连接到 SWC。
这里就是根据提示来,下面的命令直接复制粘贴即可
en
conf t
access-list 199 permit tcp 10.101.117.32 0.0.0.15 10.101.117.0 0.0.0.31 eq telnet
access-list 199 permit icmp any any
interface g0/2
ip access-group 199 out
扫一扫
1330
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
