一、作业要求
路由器模仿的pc1,pc2;要求pc1可以访问pc2上的所有服务,而PC2不能访问PC1上的任何服务。
配置思路:
使用自反acl,使PC1发出的数据在回来时也被允许进入路由器。然后在Route上配置扩展acl禁止所有数据包从s0/1接口进入。
二、拓扑图
三、配置步骤:
PC1
Router>en
Router#config t
Router(config)#line con 0
Router(config-line)#logg sy //日志同步
Router(config-line)#no exec-timeout //取消超时
Router(config-line)#EXIT
Router(config)#int ser 0/0
Router(config-if)#ip add 192.168.1.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#ex
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2 //配置网关
Router(config)#end
PC2
Router#config t
Router(config)#line con 0
Router(config-line)#no exec-timeout //取消超时
Router(config-line)#exit
Router(config)#int se 0/1
Router(config-if)#ip add 192.168.2.2 255.255.255.0
Router(config-if)#no shut
Router(config-if)#
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1 //配置网关
Router(config)#end
配置vty登录密码,允许telnet登录
Router(config)#line vty 0 4
Router(config-line)#password 123
Router(config-line)#login
Route
Router>en
Router#config t
Router(config)#line con 0
Router(config-line)#logg sy //日志同步
Router(config-line)#no exec-timeout //取消超时
Router(config-line)#exit
Router(config)#int ser 0/0
Router(config-if)#ip add 192.168.1.2 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int ser 0/1
Router(config-if)#ip add 192.168.2.1 255.255.255.0
Router(config-if)#no shut
Router(config)#end
Router(config)#ip access-list extended to_out //创建内网访问外网的名称访问控制列表to_out
Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any reflect REF//允许内网访问任何网络,创建 自反列表,名字为REF
Router(config-ext-nacl)#exit
Router(config)#ip access-list extended to_in//创建外网访问内网的名称访问控制列表to_in
Router(config-ext-nacl)#evaluate REF //计算并生成自反列表(对第一步定义的名字为REF的条目进行自反计算并生成相应的条目)
Router(config-ext-nacl)#deny ip any any //拒绝所有包通过
Router(config-ext-nacl)#exit
Router(config)#int s 0/0 //路由器的内网接口
Router(config-if)#ip access-group to_out in//将to_out应用在该接口上,in方向[或者应用到ser 0/1的out方向上也行]
Router(config-if)#ex
Router(config)#int ser 0/1//路由器的外网接口
Router(config-if)#ip access-group to_in in//将to_in应用在该接口上,in方向
四、测试
PC1上测试结果:
自反列表创建生效后
Router#ping 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!
telnet登录PC2
Router#telnet 192.168.2.2
Trying 192.168.2.2 ... Open
User Access Verification
Password:
Router>
PC2上测试结果:
自反列表创建生效后,无法ping通PC1
Router#ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
U.U.U