实验要求:
1.PC1可以telnet R1 , 但不能ping R1;PC1 可以ping R2 但是不能telnet R2
2.PC2和PC1相反
实验步骤:
1.配置接口IP地址
进入到各个接口的模式下,进行 IP 配置,此处不涉及子网划分 难度低,优先配。
下面以PC1 和R1为例子 :
2.静态路由
由于 PC1 和PC2 两台电脑 没有2.0网段 ,R2没有1.0的网段 所以要各写一条的静态路由。
PC1:ip route-static 0.0.0.0 0 192.168.1.1
PC2:ip route-static 0.0.0.0 0 192.168.1.1
R2:ip route-static 192.168.1.0 24 192.168.2.1
3.远程登陆配置
远程登录 需要创建用户名 设置权限 设置密码 开启远程登录服务 开启虚拟登录接口 配置认证模式,每个环节缺一不可。
3.配置ACL--访问控制列表
今天的重点跟难点就是ACL的配置,要求熟练掌握。
根据实验要求,ping 跟telnet 多层设卡,必须运用高级ACL,则选择序号3000-3999。
然后在该高级ACL3000下 ,设置规则:
命令如下:rule deny icmp source 源IP地址 0 destination 目标IP地址 0 ---ping
rule deny tcp source 源IP地址 0 destination 目标IP地址 0 destination-prot eq 端口号 ---telnet
rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0 --- PC1 不能ping R1 g0/0/1 接口
rule deny icmp source 192.168.1.10 0 destination 192.168.2.1 0 --- PC1不能ping R1 g0/0/0 接口
rule deny icmp source 192.168.1.11 0 destination 192.168.2.2 0 --- PC2 不能ping R2 g0/0/0 接口
rule deny tcp source 192.168.1.10 0 destination 192.168.2.2 0 destination-prot eq 23 --- PC1 不能远程登录R2
rule deny tcp source 192.168.1.11 0 destination 192.168.1.1 0 destination-prot eq 23 --- PC2 不能远程登录R1 g0/0/0
rule deny tcp source 192.168.1.11 0 destination 192.168.2.1 0 destination-prot eq 23 --- PC2 不能远程登录R1 g0/0/1
查询是否配置正确 ,命令:display acl 3000查看
为防止误伤,在近源接口处配置,进入到R1的g0/0/0接口调用ACL 3000
命令:traffic - filter inbound acl 3000
4.测试是否符合要求
PC1 要求不能ping R1 能登录R1 ,能ping R2 不能登录 R2
PC2 要求 能ping R1 不能登录R1,不能ping R2 能登录 R2
需注意:ACL访问控制列表配置好 后 ,一定要在对应的接口进行调用,才能开启ACL。