CCNA實驗:ACL訪問控制列表的使用
實驗如圖所示:要求使用ACL,使得圖中紅色字體條件成立。
底層配置如下,此時需要補充一下靜態路由,使得全網可達。路由如下:
R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1
然後我們需要在兩臺路由器上開啓遠程登錄,這裏只以R2爲例:
R2(config)#username ccna privilege 15 password cisco123
R2(config)#line vty 0 4
R2(config-line)#login local
接下來開始理思路:
首先我們用拒絕的思路來理一下,讓其他允許即可:
pc0不可以Telnet R1,說明不可以登錄192.168.1.1、192.168.2.1兩個IP。
pc0不可以ping R2,說明192.168.1.2 ping 不通 192.168.2.2
pc1不可以ping R1,說明192.168.1.3 ping 不通 192.168.1.1、192.168.2.1
pc1不可以Telnet R2,說明不可以登錄192.168.2.2
R1(config)#ip access-list extended a
R1(config-ext-nacl)#deny tcp host 192.168.1.2 host 192.168.1.1 eq 23
R1(config-ext-nacl)#deny tcp host 192.168.1.2 host 192.168.2.1 eq 23
R1(config-ext-nacl)#deny icmp host 192.168.1.2 host 192.168.2.2
R1(config-ext-nacl)#deny icmp host 192.168.1.3 host 192.168.1.1
R1(config-ext-nacl)#deny icmp host 192.168.1.3 host 192.168.2.1
R1(config-ext-nacl)#deny tcp host 192.168.1.3 host 192.168.2.2 eq 23
R1(config-ext-nacl)#permit ip any any
調用:
R1(config)#int f0/0
R1(config-if)#ip access-group a in