题目:
分析:
ACL分为基础ACL、扩展ACL以及二层ACL,由于本题具体到做什么,则使用扩展ACL,范围为3000-3999,由于ACL主打的就是就近原则,所以在R1的G0/0/1接口上调用,那么只需要写一张表即可。
先写拒绝要求,再写允许,华为默认允许所有,不用写。按照题目要求:
PC1可以登录R1,不可以ping 192.168.2.2 icmp192.168.2.1和1.1
PC2可以登录R2,不可以ping 192.168.2.3 icmp192.168.1.2
PC1不可以登录R2,可以ping TCP 192.168.2.1 0 192.168.1.2 eq 23
PC2不可以登录R1,可以ping TCP 192.168.2.3 0 192.168.1.1 eq 23
拓扑图如下:
第一步:
配置接口上的ip
第二步:添加缺省路由
第三步:开启telnet服务
(r1r2相同命令)
添加账号
[R1-aaa]local-user wl password cipher 123456
Info: Add a new user.
确定服务类型
[R1-aaa]local-user wl service-type telnet
制定权限
[R1-aaa]local-user wl privilege level 15
[R1-aaa]q
制定最大登录数量
[R1]user-interface vty 0 4
确定用aaa方式
[R1-ui-vty0-4]authentication-mode aaa
[R1-ui-vty0-4]q
第四步:编写ACL表实现需求
[R1]acl 3000
pc1不可以ping通r1
[R1-acl-adv-3000]rule deny icmp source 192.168.2.2 0 destination 192.168.2.1 0
[R1-acl-adv-3000]rule deny icmp source 192.168.2.2 0 destination 192.168.1.1 0
pc1不可以telnet r2
[R1-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.1.2 0 destination-port eq 23
pc2不可以telnet r1
[R1-acl-adv-3000]rule deny tcp source 192.168.2.3 0 destination 192.168.2.1 0 destination-port eq 23
pc2不可以ping通r2
[R1-acl-adv-3000]rule deny icmp source 192.168.2.3 0 destination 192.168.1.2 0
进入R1下面接口,用traffic-filiter inbound acl 3000
命令打开服务
第五步:测试(由于个人原因,混淆了2.0网段和1.0网段的位置,可以理解为两个位置互换使用)
PC1不可ping R1,可ping R2
PC2不可ping R2,可ping R1
PC2可telnetR2,不可telnetR1