要求:
1.路由器名为R1、R2
2.R1的S1/2端口与R2的S2/1端口相连,IP 地址如图所示,在R2上设置特权密码为R2,线路密码为CISCO
3.从R1使用PING命令测试到R2的连通性,结果可达,但却不可以TELNET到R2
基本配置
Router(config)#hostname R1
R1(config)#interface serial 1/2
R1(config-if)#ip address 192.168.1.1255.255.255.0
R1(config-if)#no shutdown
Router(config)#hostname R2
R2(config)#interface serial 2/1
R2(config-if)#ip address 192.168.1.2255.255.255.0
R2(config-if)#no shutdown
R2(config)#enable secret R2
R2(config)#line vty 0 4
R2(config-line)#password CISCO
R2(config-line)#login
实验过程:有两种方法可以实现这样的操作
方法一:使用扩展ACL
检测基本配置
在R1上TELNET R2
R1#telnet 192.168.1.2
Trying 192.168.1.2 … Open
UserAccess Verification
Password: (输入正确的密码后,验证成功!)
R2>en
Password: (输入特权模式密码,进入特权模式)
R2#
2. 创建ACL
R2(config)#access-list 101 deny tcp host 192.168.1.1any eq 23
//101代表扩展ACL(100-1999),telnet属于tcp协议,hosting代表绝对匹配一个主机 telnet协议的端口号是23
R2(config)#access-list 101 permit ip anyany
R2(config)#interface serial 2/1
R2(config-if)#ip access-group 101 in//调用ACL
3.检验效果
R1#telnet 192.168.1.2
Trying 192.168.1.2 …
% Destination unreachable; gateway orhost down//TELNET不成功
R1#ping192.168.1.2
Typeescape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!//可以ping通,因为我们只拒绝了TELNT协议,ICMP协议我们是放行的。
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/48/72 ms
方法二:使用标准ACL
1.删除先前的配置
R2(config)#interface serial 2/1
R2(config-if)#no ip access-group 101 in//去掉扩展ACL在接口的应用
R1#telnet 192.168.1.2
Trying 192.168.1.2 … Open
UserAccess Verification
Password:
R2> //能在R1上TELNET R2了说明配置删除
2.创建ACL
R2(config)#access-list 1 deny host 192.168.1.1 //标准的ACL的范围是(1-99),标准的ACL只能检测源地址。
R2(config)#access-list 1 permit any
3.应用ACL
R2(config)#line vty 0 4
R2(config-line)#access-class 1 in//在VTY线路中应用ACL
4.验证效果
R1#telnet 192.168.1.2
Trying 192.168.1.2 …
% Connection refused by remote host//TELNET不成功
总结:设置了2种ACL,但是得到的效果却不一样。如果是使用了扩展的ACL,那么它的提示是“% Destination unreachable; gateway or host down”,说明23端口根本不可达。如果使用了ACL放置在VTY线路中,则提示“% Connection refused by remotehost”,说明的确是到达了23号端口,只不过被拒绝了。在实际使用中最好使用扩展的ACL,减少23号端口的负担!!!
