科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由器ACL实验详细过程讲解(图文解析)

路由器ACL实验详细过程讲解(图文解析)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

将路由器R1的Fa0/0接口的ip设为:192.168.0.1/24;将S1/2接口的ip设为:192.168.1.1/24;上面的结果显示,R1是ping不通R2的,现在我们再来看看R1上的访问控制列表是否有拒绝的匹配数据

作者:赛迪网 来源:赛迪网 2007年9月30日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

上面的结果说明我们的配置是正确的,现在我们就来在R2上配置访问控制列表,以实现“R3 不能telnet到R2”的实验要求。因为我们的拓扑中只用一台路由器模拟PC,所以我们的访问控制列表就设置为:拒绝R3这个源地址而允许其他主机可以访问R2 。

实验结果要求1的实现:

1、在R2上配置访问控制列表,拒绝R3这个源地址的访问:

R2(config)#access-list 50 deny host 192.168.0.3

R2(config)#access-list 50 permit any

2、将访问控制列表应用到VTY虚拟终端线路上:

R2(config)#line vty 0 4

R2(config-line)#access-class 50 in

R2(config-line)#exit

配置完访问控制列表后,我们来验证一下:

R3#telnet 192.168.1.2

Trying 192.168.1.2 ...

% Connection refused by remote host

从上面的结果中我们可以看到,R3根本找不到R2这台主机,说明R3的访问被R2拒绝了,下面我们来看看在R2上的访问控制列表中是否有拒绝R3访问的匹配数据:

R2#show access-lists

Standard IP access list 50

10 deny 192.168.0.3 (1 match)

20 permit any

看到了吧,来自R3(192.168.0.3)的访问被拒绝了!如果我们把R3的IP改为192.168.0.4,那么它就可以telnet到R2,这就印证了我们访问控制列表中的第二条语句:permit any

实验结果要求2的实现:

我们都知道,访问控制列表只能过滤流经路由器的流量,而对路由器自身发出的数据包不起作用。而ping命令就是路由器自身所发出的数据包,所以我们就要改变思路,既然无法过滤发出的数据包,那么我们就来拒绝返回的数据包,这样也就实现了R1不能ping通R2的要求,因为涉及到对协议的检查,所以我们要使用扩展访问控制列表:

1、在R1上配置访问控制列表:

R1(config)#access-list 105 deny icmp host 192.168.1.2 host 192.168.1.1 echo-reply

R1(config)#access-list 105 permit ip any any

2、将访问控制列表应用到R1的S1/2接口:

R1(config)#int s1/2

R1(config-if)#ip access-group 105 in

下面我们验证一下,先从R1上ping R2,结果如下:

R1#ping 192.168.1.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

上面的结果显示,R1是ping不通R2的,现在我们再来看看R1上的访问控制列表是否有拒绝的匹配数据:

R1#show access-list

Extended IP access list 105

10 deny icmp host 192.168.1.2 host 192.168.1.1 echo-reply (15 matches)

20 permit ip any any

看到了吧,实验完成!

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章