IOS中Telnet的访问控制

最新推荐文章于 2024-05-31 11:38:51 发布

weixin_34061482

最新推荐文章于 2024-05-31 11:38:51 发布

阅读量991

点赞数

文章标签：网络

原文链接：http://blog.51cto.com/1772951/1215436

版权

要求：

1.路由器名为R1、R2

2.R1的S1/2端口与R2的S2/1端口相连，IP 地址如图所示，在R2上设置特权密码为R2，线路密码为CISCO

3.从R1使用PING命令测试到R2的连通性，结果可达，但却不可以TELNET到R2

基本配置

Router(config)#hostname R1
R1(config)#interface serial 1/2
R1(config-if)#ip address 192.168.1.1255.255.255.0
R1(config-if)#no shutdown

Router(config)#hostname R2
R2(config)#interface serial 2/1
R2(config-if)#ip address 192.168.1.2255.255.255.0
R2(config-if)#no shutdown

R2(config)#enable secret R2
R2(config)#line vty 0 4
R2(config-line)#password CISCO
R2(config-line)#login

实验过程：有两种方法可以实现这样的操作

方法一：使用扩展ACL

检测基本配置

在R1上TELNET R2

R1#telnet 192.168.1.2
Trying 192.168.1.2 … Open

UserAccess Verification

Password: （输入正确的密码后，验证成功！）
R2>en
Password: （输入特权模式密码，进入特权模式）
R2#

2. 创建ACL

R2(config)#access-list 101 deny tcp host 192.168.1.1any eq 23

//101代表扩展ACL（100-1999），telnet属于tcp协议，hosting代表绝对匹配一个主机 telnet协议的端口号是23
R2(config)#access-list 101 permit ip anyany

R2(config)#interface serial 2/1
R2(config-if)#ip access-group 101 in//调用ACL

3.检验效果

R1#telnet 192.168.1.2
Trying 192.168.1.2 …
% Destination unreachable; gateway orhost down//TELNET不成功

R1#ping192.168.1.2

Typeescape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!//可以ping通，因为我们只拒绝了TELNT协议，ICMP协议我们是放行的。
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/48/72 ms

方法二：使用标准ACL

1.删除先前的配置

R2(config)#interface serial 2/1
R2(config-if)#no ip access-group 101 in//去掉扩展ACL在接口的应用

R1#telnet 192.168.1.2
Trying 192.168.1.2 … Open

UserAccess Verification

Password:
R2> //能在R1上TELNET R2了说明配置删除

2.创建ACL

R2(config)#access-list 1 deny host 192.168.1.1 //标准的ACL的范围是（1-99），标准的ACL只能检测源地址。
R2(config)#access-list 1 permit any

3.应用ACL

R2(config)#line vty 0 4
R2(config-line)#access-class 1 in//在VTY线路中应用ACL

4.验证效果

R1#telnet 192.168.1.2
Trying 192.168.1.2 …
% Connection refused by remote host//TELNET不成功

总结：设置了2种ACL，但是得到的效果却不一样。如果是使用了扩展的ACL，那么它的提示是“% Destination unreachable; gateway or host down”，说明23端口根本不可达。如果使用了ACL放置在VTY线路中，则提示“% Connection refused by remotehost”，说明的确是到达了23号端口，只不过被拒绝了。在实际使用中最好使用扩展的ACL，减少23号端口的负担！！！

转载于:https://blog.51cto.com/1772951/1215436

weixin_34061482

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
IOS中Telnet的访问控制

要求： 1.路由器名为R1、R2 2.R1的S1/2端口与R2的S2/1端口相连，IP 地址如图所示，在R2上设置特权密码为R2，线路密码为CISCO 3.从R1使用PING命令测试到R2的连通性，结果可达，但却不可以TELNET到R2基本配置Router(config)#hostname R1R1(config)#interface s...
复制链接

扫一扫