ACL实验
一、配置r1、r2、PC1、PC2的所有端口IP地址,并使PC1、PC2可以和r1、r2正常通讯
[r1-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[r1-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[r2-GigabitEthernet0/0/0]ip address 192.168.2.2 24
[PC1-GigabitEthernet0/0/0]ip address 192.168.1.10 24
[PC1-GigabitEthernet0/0/0]ip route-static 192.168.2.0 24 192.168.1.1
[PC2-GigabitEthernet0/0/0]ip address 192.168.1.11 24
[PC2-GigabitEthernet0/0/0]ip route-static 192.168.2.0 24 192.168.1.1
二、创建telnet服务
1、r1
(1)进入aaa ----一个专门存储和管理用户名和密码的平台
[r1]aaa
[r1-aaa]
(2)创建用户名和密码
[r1-aaa]local-user 1 privilege level(权限等级)15 password cipher (密码在本地以密文的形式存储)123456
lnfo: Add a new user.
[r1-aaa]
(3) 定义用户的服务类型
[r1-aaa]local-user 1 service-type telnet
(4)开启虚拟的登录接口
[r1]user-interface vty 0 4
[r1-ui-vty0-4]
(5)配置认证模式
[r1-ui-vty0-4]authentication-mode aaa
2、r2
(1)进入aaa ----一个专门存储和管理用户名和密码的平台
[r2]aaa
[r2-aaa]
(2)创建用户名和密码
[r2-aaa]local-user 2 privilege level(权限等级)15 password cipher (密码在本地以密文的形式存储)456789
lnfo: Add a new user.
[r2-aaa]
(3) 定义用户的服务类型
[r2-aaa]local-user 2 service-type telnet
(4)开启虚拟的登录接口
[r2]user-interface vty 0 4
[r2-ui-vty0-4]
(5)配置认证模式
[r2-ui-vty0-4]authentication-mode aaa
三、PC1可以telnet R1,但不能ping R1; PC1 可以ping R2,但是不能telnet R2;
PC2不可以telnet R1,但能ping R1; PC2 不可以ping R2,但是能telnet R2
1.创建ACL列表
[r1]acl 3000
[r1-acl-adv-3000]
2.添加规则
[r1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.3.0
PC1不能ping r1
[r1-acl-adv-3000]rule deny tcp source 192.168.1.11 0.0.0.0 destination 192.168.1.1 0.0.3.0 destination-port eq 23
PC2不能telnet r1
[r1-acl-adv-3000]rule deny icmp source 192.168.1.11 0.0.0.0 destination 192.168.2.2 0.0.0.0
PC2不能 ping r2
[r1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
PC1不能 telnet r2
3.在接口上调用ACL列表
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
四、实验结果
(1)PC1可以telnet r1
(2)PC1不能ping r1
(3)PC1可以ping r2
(4)PC1不能 telnet r2
(5)PC2不能telnet r1
(6)PC2可以ping r1
(7)PC2不能 ping r2
(8)PC2可以telnet r2