实验:基于ACL实现与禁止Telnet和Ping命令(HCIA)
目录
2.3 开启acl,实现与拒绝网络的telnet与ping命令
一、实验要求与拓扑搭建
二、实验过程
2.1配置IP地址,实现全网可达
[r1-GigabitEthernet0/0/0]ip add 192.168.2.1 24
[r1-GigabitEthernet0/0/1]ip add 192.168.1.1 24
[r2-GigabitEthernet0/0/0]ip add 192.168.1.2 24
[pc1-GigabitEthernet0/0/0]ip add 192.168.2.2 24
[pc2-GigabitEthernet0/0/0]ip add 192.168.2.3 24
2.1.1给PC1、PC2添加缺省,使路由器充当PC使用
[pc1]ip route-static 0.0.0.0 0 192.168.2.1
[pc2]ip route-static 0.0.0.0 0 192.168.2.1
2.1.2 实现全网可达的条件
在R2上手动添加192.168.1.0到192.168.2.0的静态路由
2.2 开启AAA服务,创建账号密码,定义账号的作用
即在被telnet的设备上开启服务配置
[r1]user-interface vty 0 4(设置控制设备终端数为0-4人)
R2操作命令同R1
2.3 开启acl,实现与拒绝网络的telnet与ping命令
[r1]acl 3000
[r1-acl-adv-3000]rule deny icmp source 192.168.2.2 0.0.0.0 destination 192.168.2.1 0.0.0.0
[r1-acl-adv-3000]rule deny icmp source 192.168.2.2 0.0.0.0 destination 192.168.1.1 0.0.0.0
[r1-acl-adv-3000]rule deny tcp source 192.168.2.2 0.0.0.0 destination 192.168.1.2 0.0.0.0 destination-port eq 23
[r1-acl-adv-3000]rule deny tcp source 192.168.2.3 0.0.0.0 destination 192.168.2.1 0.0.0.0 destination-port eq 23
[r1-acl-adv-3000]rule deny tcp source 192.168.2.3 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23
[r1-acl-adv-3000]rule deny icmp source 192.168.2.3 0.0.0.0 destination 192.168.1.2 0.0.0.0
注意:telnet使用的端口策略为TCP协议,ping为ICMP协议
2.4 验证结果
实验完成!
(若配置中有些步骤看不懂,可以翻翻之前的博客,若有问题欢迎大家在评论区共同讨论)