扩展
ACL
控制列表的配置
实验目的:了解路由器的扩展
acl
列表的配置
实验环境:用两台路由器模拟出两个局域网分别为
192.168.1.0
和
192.168.3.0
使得
pc1
不能
telnet
到
r2
,但可以
ping
通
r2
实验的拓扑图如下
实验步骤:
1:
进入到第一台路由进行如下的配置
Router>en
Router # config t
Router (config) # host r1
r1 (config) #int fa1/0
r1 (config-if)# ip add 192.168.1.1 255.255.255.0
r1 (config-if) # no shut
r1 (config) # int s0/0
r1 (config-if) # ip add 192.168.2.1 255.255.255.0
r1 (config-if) #clock rate 64000
r1 (config) # no shut
r1 (config) #router rip
r1 (config-router) #net 192.168.1.0
r1 (config-router) #net 192.168.2.0
r1(config-router)#^Z
r1 (config) #ip access-list extended 192
定义访问控制列表
r1 (config-ext-nacl) # deny tcp 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0 eq 23
设置访问控制列表拒绝
telnet
服务
r1 (config-ext-nacl) #permit icmp any any
允许
ping
r1 (config-ext-nacl) #exit
r1(config) #int fa 1/0
进入离源目标最近的接口
r1 (config-if) #ip access-group 192 in
绑定访问控制列表在
in
的方向
r1 (config-if) #exit
r1 (config) # exit
r1 # copy run start
2:
进入到第二台路由进行如下的配置
Router>en
Router # config t
Router (config) # host r2
r2 (config) #int fa1/0
r2 (config-if)# ip add 192.168.3.1 255.255.255.0
r2 (config-if) # no shut
r2 (config) # int s0/0
r2 (config-if) # ip add 192.168.2.2 255.255.255.0
r2 (config) # no shut
r2 (config) #router rip
r2 (config-router)#net 192.168.2.0
r2 (config-router)#net 192.168.3.0
r2(config-router)#^Z
r2(config)#ena pass 123
r2 (config)#line vty 0 4
r2 (config-line)#login
r2 (config-line)#pass 123
r2 (config-line)#exit
r2 (config) # exit
r2 # copy run start
3
:在
pc
机上实验成功
Pc
机的配置如下
Pc1 192.168.1.2 255.255.255.0 192.168.1.1
Pc2 192.168.3.2 255.255.255.0 192.168.3.1
实验结果如下图所示