日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

路由器ACL實驗詳細過程講解

云知道

實驗拓撲圖:實驗環(huán)境說明:
1、將路由器R1的Fa0/0接口的ip設(shè)為:192.168.0.1/24;將S1/2接口的ip設(shè)為:192.168.1.1/24;
2、將路由器R2的Fa0/0接口的ip設(shè)為:192.168.2.2/24;將S1/2接口的ip設(shè)為:192.168.1.2/24;
3、將路由器R3的Fa0/0接口的ip設(shè)為:192.168.0.3/24;關(guān)閉其路由功能,模擬PC使用;實驗結(jié)果要求:
1、在R2上做訪問控制列表,使R3不能telnet到R2;
2、在R1上做訪問控制列表,使R1不能ping通R2。實驗環(huán)境的基本配置:R1配置清單:
1、為R1的Fa0/0接口配置IP,并設(shè)為全雙工模式:
R1(config)#int fa0/0
R1(config-if)#speed 100
R1(config-if)#duplex full
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit
2、為R1的S1/2接口配置IP:
R1(config)#int s1/2
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exitR2的配置清單:
1、為R2的Fa0/0接口配置IP,并設(shè)為全雙工模式:
R2(config)#int fa0/0
R2(config-if)#speed 100
R2(config-if)#duplex full
R2(config-if)#ip add 192.168.2.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
2、為R2的S1/2接口配置IP:
R2(config)#int s1/2
R2(config-if)#ip add 192.168.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
3、在R2上增加一條靜態(tài)路由以實現(xiàn)和R3通信:
R2(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.1
4、在R2上設(shè)置用戶密碼和線路密碼,為下一步的telnet服務(wù):
R2(config)#enable passWord 123456
R2(config)#line vty 0 4
R2(config-line)#password 123456R3的配置清單:
R3(config)#no ip routing; //關(guān)閉路由功能,模擬PC
R3(config)#int fa0/0
R3(config-if)#speed 100
R3(config-if)#duplex full
R3(config-if)#ip add 192.168.0.3 255.255.255.0
R3(config-if)#no shut
R3(config-if)#exitSW1的配置清單:
分別將fa1/13、fa1/14、fa1/15接口設(shè)為全雙工模式:
SW1(config)#int fa1/13
SW1(config-if)#speed 100
SW1(config-if)#duplex full
SW1(config-if)#exitSW1(config)#int fa1/14
SW1(config-if)#speed 100
SW1(config-if)#duplex full
SW1(config-if)#exitSW1(config)#int fa1/15
SW1(config-if)#speed 100
SW1(config-if)#duplex full
SW1(config-if)#exit所有的基本配置完成后,我們測試從R3tenlnet到R2,結(jié)果如下:
R3#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access VerificationPassword:
R2>en
Password:
R2#exit[Connection to 192.168.1.2 closed by foreign host]上面的結(jié)果說明我們的配置是正確的,現(xiàn)在我們就來在R2上配置訪問控制列表,以實現(xiàn)“R3 不能telnet到R2”的實驗要求 。因為我們的拓撲中只用一臺路由器模擬PC,所以我們的訪問控制列表就設(shè)置為:拒絕R3這個源地址而答應(yīng)其他主機可以訪問R2。
實驗結(jié)果要求1的實現(xiàn):1、在R2上配置訪問控制列表,拒絕R3這個源地址的訪問:
R2(config)#access-list 50 deny host 192.168.0.3
R2(config)#access-list;50 permit any
2、將訪問控制列表應(yīng)用到VTY虛擬終端線路上:
R2(config)#line vty 0 4
R2(config-line)#access-class 50 in
R2(config-line)#exit配置完訪問控制列表后,我們來驗證一下:
R3#telnet 192.168.1.2
Trying 192.168.1.2 ...
% Connection refused by remote host從上面的結(jié)果中我們可以看到,R3根本找不到R2這臺主機,說明R3的訪問被R2拒絕了,下面我們來看看在R2上的訪問控制列表中是否有拒絕R3訪問的匹配數(shù)據(jù):
R2#show access-lists
Standard IP access list 50
10 deny192.168.0.3 (1 match)
20 permit any
看到了吧,來自R3(192.168.0.3)的訪問被拒絕了!假如我們把R3的IP改為192.168.0.4,那么它就可以telnet到R2,這就印證了我們訪問控制列表中的第二條語句:permit any實驗結(jié)果要求2的實現(xiàn):我們都知道,訪問控制列表只能過濾流經(jīng)路由器的流量,而對路由器自身發(fā)出的數(shù)據(jù)包不起作用 。而ping命令就是路由器自身所發(fā)出的數(shù)據(jù)包,所以我們就要改變思路,既然無法過濾發(fā)出的數(shù)據(jù)包,那么我們就來拒絕返回的數(shù)據(jù)包,這樣也就實現(xiàn)了R1不能ping通R2的要求,因為涉及到對協(xié)議的檢查,所以我們要使用擴展訪問控制列表:

推薦閱讀