演习2
与标准ACL不同,扩展ACL可以进行对送信元IP地址、宛先IP地址、プロトコル、送信元ポート、宛先ポート的控制来进行针对性的访问控制。
条件
- 网络拓扑图如图所示,首先PC之间互相ping通。
- 从NW_A(192.168.1.0)到NW_B(192.168.2.0)的telnet拒绝,其他的数据包都可正常传输。
配置路由器
| Router(config)#interface fastethernet 0
Router(config-if)#ip address 192.168.1.254 255.255.255.0
Router(config-if)#no shutdown
Router(config)#interface fastethernet 1
Router(config-if)#ip address 192.168.2.254 255.255.255.0
Router(config-if)#no shutdown
Router#show interface 确认端口是否配置成功
|
配置ACL
| Router(config)#access-list 100 deny tcp host 192.168.1.1 host 192.168.2.1 eq 23
Router(config)#access-list 100 permit ip any any
Router(config)#show access-lists 确认ACL是否建立成功
Router(config)#interface fastethernet 0
Router(config)#ip access-group 100 in
|
配置switch
| switch(config)#interface vlan 1
switch(config-if)#ip address 192.168.1.100 255.255.255.0
switch(config-if)#no shutdown
switch(config-if)#exit
switch(config)#ip default-gateway 192.168.1.254
|
switch有两台,根据上述代码可以配置另一台
配置router密码
| Router(config)#line vty 0 4
Router(config-line)#password cisco
Router(config-line)#login
Router(config-line)#end
Router#show run 确认router密码是否配置成功
|
结果
最终结果为PCA无法telnet到PCB(显示访问拒绝),但是PCB可以telnet到PCA,电脑之间的互相ping正常。