实验要求:
1.路由器名为R1、R2
2.R1的S1/2端口与R2的S2/1端口相连,IP 地址如图所示,在R2上设置特权密码为R2,线路密码为CISCO
3.从R1使用PING命令测试到R2的连通性,结果可达,但却不可以TELNET到R2
实验拓扑
基本配置
Router(config)#
hostname R1
R1(config)# interface serial 1/2
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config-if)# no shutdown
R1(config)# interface serial 1/2
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config-if)# no shutdown
Router(config)#
hostname R2
R2(config)# interface serial 2/1
R2(config-if)# ip address 192.168.1.2 255.255.255.0
R2(config-if)# no shutdown
R2(config)# interface serial 2/1
R2(config-if)# ip address 192.168.1.2 255.255.255.0
R2(config-if)# no shutdown
R2(config)#
enable secret R2
R2(config)# line vty 0 4
R2(config-line)# password CISCO
R2(config-line)# login
R2(config)# line vty 0 4
R2(config-line)# password CISCO
R2(config-line)# login
实验过程: 有两种方法可以实现这样的操作
方法一:使用扩展ACL
检测基本配置
在R1上TELNET R2
R1#
telnet 192.168.1.2
Trying 192.168.1.2 … Open
Trying 192.168.1.2 … Open
User Access Verification
Password:
(输入正确的密码后,验证成功!)
R2> en
Password: (输入特权模式密码,进入特权模式)
R2#
R2> en
Password: (输入特权模式密码,进入特权模式)
R2#
2. 创建ACL
R2(config)#
access-list 101 deny tcp host 192.168.1.1 any eq 23
//101代表扩展ACL(100-1999),telnet属于tcp协议,hosting代表绝对匹配一个主机 telnet协议的端口号是23
R2(config)# access-list 101 permit ip any any
R2(config)# access-list 101 permit ip any any
R2(config)#
interface serial 2/1
R2(config-if)# ip access-group 101 in //调用ACL
R2(config-if)# ip access-group 101 in //调用ACL
3.检验效果
R1#
telnet 192.168.1.2
Trying 192.168.1.2 …
% Destination unreachable; gateway or host down //TELNET不成功
Trying 192.168.1.2 …
% Destination unreachable; gateway or host down //TELNET不成功
R1#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!! //可以ping通, 因为我们只拒绝了TELNT协议,ICMP协议我们是放行的。
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/48/72 ms
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!! //可以ping通, 因为我们只拒绝了TELNT协议,ICMP协议我们是放行的。
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/48/72 ms
方法二:使用标准ACL
1.删除先前的配置
R2(config)#
interface serial 2/1
R2(config-if)# no ip access-group 101 in //去掉扩展ACL在接口的应用
R2(config-if)# no ip access-group 101 in //去掉扩展ACL在接口的应用
R1#
telnet 192.168.1.2
Trying 192.168.1.2 … Open
Trying 192.168.1.2 … Open
User Access Verification
Password:
R2> //能在R1上TELNET R2了说明配置删除
R2> //能在R1上TELNET R2了说明配置删除
2.创建ACL
R2(config)#
access-list 1 deny host 192.168.1.1
//标准的ACL的范围是(1-99),标准的ACL只能检测源地址。
R2(config)# access-list 1 permit any
R2(config)# access-list 1 permit any
3.应用ACL
R2(config)#
line vty 0 4
R2(config-line)# access-class 1 in //在VTY线路中应用ACL
R2(config-line)# access-class 1 in //在VTY线路中应用ACL
4.验证效果
R1#
telnet 192.168.1.2
Trying 192.168.1.2 …
% Connection refused by remote host //TELNET不成功
Trying 192.168.1.2 …
% Connection refused by remote host //TELNET不成功
总结:
设置了2种ACL,但是得到的效果却不一样。如果是使用了扩展的ACL,那么它的提示是“% Destination unreachable; gateway or host down”,说明23端口根本不可达。如果使用了ACL放置在VTY线路中,则提示“% Connection refused by remote host”,说明的确是到达了23号端口,只不过被拒绝了。在实际使用中最好使用扩展的ACL,减少23号端口的负担!!!
©著作权归作者所有:来自51CTO博客作者ljp0501的原创作品,如需转载,请注明出处,否则将追究法律责任
推荐专栏更多
猜你喜欢
我的友情链接
CCNP ISCW.使用SDM配置GRE Over IPSEC
Java线程:线程的调度-休眠
我们不得不面对的中年职场危机
职场终极密籍--记我的职业生涯
用光影魔术手制作一寸照片(8张一寸)
我的IT职场生涯: 毕业4年,月薪过万
Linux关闭休眠和屏保模式
年薪从0到10万-我的IT职场经验总结
Windows7删除休眠文件hiberfil.sys节省大量C盘空间
致IT同仁 — IT人士常犯的17个职场错误
“跳槽加薪”现象,无奈的职场规则
OSPF基本概念以及DR/BDR和虚连接OSPF特殊区域的实验操作
简单搭建OSPF,RIP,NSSA,外部路由汇总网络拓扑
OSPF路由重分发
OSPF协议的“地址汇总配置”及“虚链路配置”
华为路由器BGP邻居详解
H3C 交换机升级说明
网工,敢问路在何方?!
小试牛刀(一):家用级组网规划设计与配置实战
扫一扫,领取大礼包
转载于:https://blog.51cto.com/ljp0501/140913
扫一扫
2052
到【灌水乐园】发言
Ctrl+Enter 发布
发布
取消