实验要求:
1.路由器名为R1、R2
2.R1的S1/2端口与R2的S2/1端口相连,IP 地址如图所示,在R2上设置特权密码为R2,线路密码为CISCO
3.从R1使用PING命令测试到R2的连通性,结果可达,但却不可以TELNET到R2
实验拓扑
基本配置
Router(config)#
hostname R1
R1(config)# interface serial 1/2
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config-if)# no shutdown
R1(config)# interface serial 1/2
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config-if)# no shutdown
Router(config)#
hostname R2
R2(config)# interface serial 2/1
R2(config-if)# ip address 192.168.1.2 255.255.255.0
R2(config-if)# no shutdown
R2(config)# interface serial 2/1
R2(config-if)# ip address 192.168.1.2 255.255.255.0
R2(config-if)# no shutdown
R2(config)#
enable secret R2
R2(config)# line vty 0 4
R2(config-line)# password CISCO
R2(config-line)# login
R2(config)# line vty 0 4
R2(config-line)# password CISCO
R2(config-line)# login
实验过程: 有两种方法可以实现这样的操作
方法一:使用扩展ACL
检测基本配置
在R1上TELNET R2
R1#
telnet 192.168.1.2
Trying 192.168.1.2 … Open
Trying 192.168.1.2 … Open
User Access Verification
Password:
(输入正确的密码后,验证成功!)
R2> en
Password: (输入特权模式密码,进入特权模式)
R2#
R2> en
Password: (输入特权模式密码,进入特权模式)
R2#
2. 创建ACL
R2(config)#
access-list 101 deny tcp host 192.168.1.1 any eq 23
//101代表扩展ACL(100-1999),telnet属于tcp协议,hosting代表绝对匹配一个主机 telnet协议的端口号是23
R2(config)# access-list 101 permit ip any any
R2(config)# access-list 101 permit ip any any
R2(config)#
interface serial 2/1
R2(config-if)# ip access-group 101 in //调用ACL
R2(config-if)# ip access-group 101 in //调用ACL
3.检验效果
R1#
telnet 192.168.1.2
Trying 192.168.1.2 …
% Destination unreachable; gateway or host down //TELNET不成功
Trying 192.168.1.2 …
% Destination unreachable; gateway or host down //TELNET不成功
R1#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!! //可以ping通, 因为我们只拒绝了TELNT协议,ICMP协议我们是放行的。
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/48/72 ms
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!! //可以ping通, 因为我们只拒绝了TELNT协议,ICMP协议我们是放行的。
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/48/72 ms
方法二:使用标准ACL
1.删除先前的配置
R2(config)#
interface serial 2/1
R2(config-if)# no ip access-group 101 in //去掉扩展ACL在接口的应用
R2(config-if)# no ip access-group 101 in //去掉扩展ACL在接口的应用
R1#
telnet 192.168.1.2
Trying 192.168.1.2 … Open
Trying 192.168.1.2 … Open
User Access Verification
Password:
R2> //能在R1上TELNET R2了说明配置删除
R2> //能在R1上TELNET R2了说明配置删除
2.创建ACL
R2(config)#
access-list 1 deny host 192.168.1.1
//标准的ACL的范围是(1-99),标准的ACL只能检测源地址。
R2(config)# access-list 1 permit any
R2(config)# access-list 1 permit any
3.应用ACL
R2(config)#
line vty 0 4
R2(config-line)# access-class 1 in //在VTY线路中应用ACL
R2(config-line)# access-class 1 in //在VTY线路中应用ACL
4.验证效果
R1#
telnet 192.168.1.2
Trying 192.168.1.2 …
% Connection refused by remote host //TELNET不成功
Trying 192.168.1.2 …
% Connection refused by remote host //TELNET不成功
总结:
设置了2种ACL,但是得到的效果却不一样。如果是使用了扩展的ACL,那么它的提示是“% Destination unreachable; gateway or host down”,说明23端口根本不可达。如果使用了ACL放置在VTY线路中,则提示“% Connection refused by remote host”,说明的确是到达了23号端口,只不过被拒绝了。在实际使用中最好使用扩展的ACL,减少23号端口的负担!!!
©著作权归作者所有:来自51CTO博客作者ljp0501的原创作品,如需转载,请注明出处,否则将追究法律责任
职场 休闲 使用ACL禁止TELNET应用
Cisco 学习
0
收藏
上一篇:路由器的操作系统IOS备份/升级 下一篇:感悟人生
5条评论
按时间倒序 按时间正序推荐专栏更多
网络安全入门到实战,让SQLmap子弹飞一会儿
9本网络安全实战书籍精华
共23章 | simeon2005
¥51.00 828人订阅
订 阅
Web网站安全评估分析及防御
企业级网安运维
共30章 | simeon2005
¥51.00 407人订阅
订 阅
负载均衡高手炼成记
高并发架构之路
共15章 | sery
¥51.00 506人订阅
订 阅
猜你喜欢
我的友情链接 CCNP ISCW.使用SDM配置GRE Over IPSEC Java线程:线程的调度-休眠 我们不得不面对的中年职场危机 职场终极密籍--记我的职业生涯 用光影魔术手制作一寸照片(8张一寸) 我的IT职场生涯: 毕业4年,月薪过万 Linux关闭休眠和屏保模式 年薪从0到10万-我的IT职场经验总结 Windows7删除休眠文件hiberfil.sys节省大量C盘空间 致IT同仁 — IT人士常犯的17个职场错误 “跳槽加薪”现象,无奈的职场规则 OSPF基本概念以及DR/BDR和虚连接OSPF特殊区域的实验操作 简单搭建OSPF,RIP,NSSA,外部路由汇总网络拓扑 OSPF路由重分发 OSPF协议的“地址汇总配置”及“虚链路配置” 华为路由器BGP邻居详解 H3C 交换机升级说明 网工,敢问路在何方?! 小试牛刀(一):家用级组网规划设计与配置实战
扫一扫,领取大礼包
0
5
分享
ljp0501
Ctrl+Enter 发布
发布
取消