题目要求:
1、PC1可以telnet R1,但不能ping R1;PC1可以ping R2但是不能telnet R2
2、PC2和PC1相反
解题步骤:
1、思路
PC1:ACL-3000 -- 拒绝icmp --- 源1.10到目的1.1\2.1 --- 在R1的g0/0/0入方向
ACL-3000 -- 拒绝tcp23端口 --- 源1.10到目的2.2 --- 在R1的g0/0/0的入方向
PC2:ACL-3000 -- 拒绝icmp --- 源1.11到目的2.2 --- 在R1的g0/0/0入方向
ACL-3000 -- 拒绝tcp23端口 --- 源1.11到目的1.1\2.1 --- 在R1的g0/0/0的入方向
2、配置命令
ACL配置:
[r1]acl 3000 --- 创建ACL列表(2000~2999)基础ACL(3000~3999)高级ACL。
[r1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.2.1 0.0.0.0
--- 在ACL列表中添加规则。
[r1-acl-adv-3000]rule deny icmp source 源IP 反掩码 destination 目的IP 通配符
--- 0对应位不可变,1对应位可变;0和1可以穿插使用。
[r1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.1 0.0.0.0
destination-port eq 23 --- 匹配TCP的23号端口。
Telnet配置:
[r1]aaa --- 专门存储和管理账号的地方
[r1-aaa]local-user admin privilege level 15 password cipher 123456 --- 创建用户名和密码
[r1-aaa]local-user 用户名 privilege level 15 password cipher 密码
[r1-aaa]local-user admin service-type telnet --- 定义该用户所对应的服务
[r1]user-interface vty 0 4 --- 开启5个虚拟登录端口
[r1-ui-vty0-4]authentication-mode aaa --- 定义登录认证模式
PC1:
sys
sys PC1
int g0/0/0
ip add 192.168.1.10 24
ip route-s 0.0.0.0 0 192.168.1.1PC2:
sys
sys PC2
int g0/0/0
ip add 192.168.1.11 24
ip route-s 0.0.0.0 0 192.168.1.1
R1:
sys
sys r1
int g0/0/0
ip add 192.168.1.1 24
int g0/0/1
ip add 192.168.2.1 24
rip 1
v 2
ne 192.168.1.0
ne 192.168.2.0
acl 3000
rule deny icmp s 192.168.1.10 0.0.0.0 de 192.168.1.1 0.0.0.0
rule deny icmp s 192.168.1.10 0.0.0.0 de 192.168.2.1 0.0.0.0
rule deny tcp s 192.168.1.10 0.0.0.0 de 192.168.2.2 0.0.0.0 des eq 23
rule deny icmp s 192.168.1.11 0.0.0.0 de 192.168.2.2 0.0.0.0
rule deny tcp s 192.168.1.11 0.0.0.0 de 192.168.2.1 0.0.0.0 des eq 23
rule deny tcp s 192.168.1.11 0.0.0.0 de 192.168.1.1 0.0.0.0 des eq 23
int g0/0/0
tra in acl 3000
aaa
loca admin pri l 15 pas ci 123456
loca admin ser telnet
q
user vty 0 4
auth aaa
R2:
sys
sys r2
int g0/0/0
ip add 192.168.2.2 24
rip 1
v 2
ne 192.168.2.0
aaa
loca admin pri l 15 pas ci 123456
loca admin ser telnet
q
user vty 0 4
auth aaa
验证:
