使用ACL禁止TELNET应用


图片
R1的基本配置
R1>en
R1#
R1#configt
R1(config)#inters0/0
R1(config-if)#ipadd192.168.12.1255.255.255.0
R1(config-if)#noshut
R1(config-if)#exit

R1(config)#linevty04
R1(config-line)#passwordcisco
R1(config-line)#login


R2的基本配置
R2>en
R2#
R2#configt
R2(config)#inters0/0
R2(config-if)#ipadd192.168.12.2255.255.255.0
R2(config-if)#noshut
R2(config-if)#exit
R2#telnet192.168.12.1
Trying192.168.12.1...Open


UserAccessVerification
Password:
R1>~~~~~~~~~~验证成功,可以从R2telnet到R1上

(一)、方法1:使用扩展ACL
1、创建ACL
R1#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R1(config)#access-list101denytcphost192.168.12.2anyeq23
R1(config)#access-list101permitipanyany
R1(config)#inters0/0
R1(config-if)#ipaccess-group101in

R1(config-if)#
2、检验效果
R2#telnet192.168.12.1
Trying192.168.12.1...
%Destinationunreachable;gatewayorhostdown

R2#ping192.168.12.1
Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto192.168.12.1,timeoutis2seconds:
!!!!!
Succe***ateis100percent(5/5),round-tripmin/avg/max=20/32/44ms
注:我们只拒绝了TELNET协议,但ICMP协议是放行的。
(二)、方法二:使用标准ACL
1、删除原来的配置
R1(config)#inters0/0
R1(config-if)#noipaccess-group101in
R1(config-if)#exit
R1(config)#

R2#
R2#telnet192.168.12.1
Trying192.168.12.1...Open

UserAccessVerification
Password:
R1>~~~~~~~~~~~~~~R1上原来的扩展ACL被删除了。

2、创建ACL
R1(config)#access-list1denyhost192.168.12.2

R1(config)#access-list1permitany
R1(config)#
标准的ACL编号范围是1到99,和1300到1399,标准的ACL只能检测源地址。

3、应用ACL
R1(config)#linevty04
R1(config-line)#access-class1in
R1(config-line)#

4、检验效果
R2#telnet192.168.12.1
Trying192.168.12.1...
%Connectionrefusedbyremotehost
R2#


总结:应用了两种ACL,但是得到的效果不一样,使用扩展ACL,得到的提示是“%Destinationunreachable;gatewayorhostdown”,说明23号端口不可达。如果使用标准ACL放置在VTY线路中,得到的提示是“%Connectionrefusedbyremotehost”,说明是到达了23号端口,只不过是被拒绝掉了。在实际环境中,还是尽量采用扩展ACL,来减轻23端口的压力。