路由器ACL實驗詳細過程講解(圖文解析)

更新時間:2007-09-30作者：賽迪網(wǎng)

關(guān)鍵詞：config-if路由器acl實驗環(huán)境說明：1、將路由器R1的Fa0/0接口的ip設(shè)為：/24；將S1/2接口的ip設(shè)為：/24；2、將路由器R2的Fa0/0接口的ip設(shè)為：/24；將S1/2接口的ip設(shè)為：/24；3、將路由器R3的Fa0/0接口的ip設(shè)為：/24；關(guān)閉其路由功能，模擬PC使用；實驗結(jié)果要求:1、在R2上做訪問控制列表，使R3不能telnet到R2；2、在R1上做訪問控制列表，使R1不能ping通R2。實驗拓撲圖：實驗環(huán)境的基本配置：R1配置清單：1、為R1的Fa0/0接口配置IP，并設(shè)為全雙工模式：R1(config)#intfa0/0R1(config-if)#speed100R1(config-if)#duplexfullR1(config-if)#ipaddR1(config-if)#noshutR1(config-if)#exit2、為R1的S1/2接口配置IP：R1(config)#ints1/2R1(config-if)#ipaddR1(config-if)#noshutR1(config-if)#exitR2的配置清單：1、為R2的Fa0/0接口配置IP，并設(shè)為全雙工模式：R2(config)#intfa0/0R2(config-if)#speed100R2(config-if)#duplexfullR2(config-if)#ipaddR2(config-if)#noshutR2(config-if)#exit2、為R2的S1/2接口配置IP：R2(config)#ints1/2R2(config-if)#ipaddR2(config-if)#noshutR2(config-if)#exit3、在R2上增加一條靜態(tài)路由以實現(xiàn)和R3通信：R2(config)#iproute4、在R2上設(shè)置用戶密碼和線路密碼，為下一步的telnet服務(wù)：R2(config)#enablepassword123456R2(config)#linevty04R2(config-line)#password123456R3的配置清單：R3(config)#noiprouting//關(guān)閉路由功能，模擬PCR3(config)#intfa0/0R3(config-if)#speed100R3(config-if)#duplexfullR3(config-if)#ipaddR3(config-if)#noshutR3(config-if)#exitSW1的配置清單：分別將fa1/13、fa1/14、fa1/15接口設(shè)為全雙工模式：SW1(config)#intfa1/13SW1(config-if)#speed100SW1(config-if)#duplexfullSW1(config-if)#exitSW1(config)#intfa1/14SW1(config-if)#speed100SW1(config-if)#duplexfullSW1(config-if)#exitSW1(config)#intfa1/15SW1(config-if)#speed100SW1(config-if)#duplexfullSW1(config-if)#exit所有的基本配置完成后，我們測試從R3tenlnet到R2,結(jié)果如下：R3#telnetTrying...OpenUserAccessVerificationPassword:R2>enPassword:R2#exit[Connectiontoclosedbyforeignhost]上面的結(jié)果說明我們的配置是正確的，現(xiàn)在我們就來在R2上配置訪問控制列表，以實現(xiàn)“R3不能telnet到R2”的實驗要求。因為我們的拓撲中只用一臺路由器模擬PC，所以我們的訪問控制列表就設(shè)置為：拒絕R3這個源地址而允許其他主機可以訪問R2。實驗結(jié)果要求1的實現(xiàn)：1、在R2上配置訪問控制列表，拒絕R3這個源地址的訪問：R2(config)#access-list50denyhostR2(config)#access-list50permitany2、將訪問控制列表應(yīng)用到VTY虛擬終端線路上：R2(config)#linevty04R2(config-line)#access-class50inR2(config-line)#exit配置完訪問控制列表后，我們來驗證一下：R3#telnetTrying...%Connectionrefusedbyremotehost從上面的結(jié)果中我們可以看到，R3根本找不到R2這臺主機，說明R3的訪問被R2拒絕了，下面我們來看看在R2上的訪問控制列表中是否有拒絕R3訪問的匹配數(shù)據(jù)：R2#showaccess-listsStandardIPaccesslist5010deny(1match)20permitany看到了吧，來自R3（）的訪問被拒絕了！如果我們把R3的IP改為，那么它就可以telnet到R2，這就印證了我們訪問控制列表中的第二條語句：permitany實驗結(jié)果要求2的實現(xiàn)：我們都知道，訪問控制列表只能過濾流經(jīng)路由器的流量，而對路由器自身發(fā)出的數(shù)據(jù)包不起作用。而ping命令就是路由器自身所發(fā)出的數(shù)據(jù)包，所以我們就要改變思路，既然無法過濾發(fā)出的數(shù)據(jù)包，那么我們就來拒絕返回的數(shù)據(jù)包，這樣也就實現(xiàn)了R1不能ping通R2的要求，因為涉及到對協(xié)議的檢查，所以我們要使用擴展訪問控制列表：1、在R1上配置訪問控制列表：R1(config)#access-list105denyicmphosthostecho-replyR1(config)#access-list105permitipanyany2、將訪問控制列表應(yīng)用到R1的S1/2接口：R1(config)#ints1/2R1(config-if)#ipaccess-group105in下面我們驗證一下，先從R1上pingR2,結(jié)果如下:R1#pingTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:.....Successrateis0percent(0/5)上面的結(jié)果顯示，R1是ping不通R2的，現(xiàn)在我們再來看看R1