linux社区爱心援助Linux认证系列教程业界动态站务新闻公司招聘建议留言网址大全LPI专题CISCO专题
设为首页
加入收藏
管理团队
JSP  
JAVA  
PERL  
 您的位置:首页 > 专题栏目 > cisco >
栏目导栏
  LPI
  cisco
资料搜索
热门文章
·关于PIX的配置及注解完全手册(
·零起点配置PIX防火墙 PIX防火墙
·零起点配置PIX防火墙 六大基本
·PIX命令集
·Pix515 防火墙配置策略实例分析
·思科PIX防火墙VPN的配置实例
·详细介绍Cisco Secure PIX 525
·使用VPN Client 简单的VPN登入
·开始使用cisco pix 防火墙(主要
·Cisco思科3550交换机配置手册
·Cisco PIX Syslog 配置说明
·某公司PIX 520防火墙系统和NAT
·pix中的七个命令
·Cisco PIX 防火墙安装指南
·CISCO PIX 防火墙及网络安全配
最新文章
·简述万兆以太网技术
·六种方式来设置路由器
·教你怎么优化TCP/IP网络
·路由器ACL实验详细过程讲解
·DHCP Snooping技术介绍
·网关无法Ping通故障及解决方法
·UDP用户数据报协议简介
·OSPF动态路由协议的路由更新机
·OSPF动态路由协议基本工作原理
·Cisco3725交换机密码破解方法
·如何制定全面的网络安全计划
·利用UNIX系统的TFTP和RCP配置路
·CCNA试验考试命令总结
·用命令行在Cisco设备上查看机框
·交换机介绍 网管必读的技术资料
Google
 
路由器ACL实验详细过程讲解
[ 作者:  加入时间:2007-12-06 18:15:06  来自:Linux联盟收集整理 ]
 实验拓扑图:

  实验环境说明:p4SLinux联盟
 p4SLinux联盟
    1、将路由器R1的Fa0/0接口的ip设为:192.168.0.1/24;将S1/2接口的ip设为:192.168.1.1/24;
    2、将路由器R2的Fa0/0接口的ip设为:192.168.2.2/24;将S1/2接口的ip设为:192.168.1.2/24;
    3、将路由器R3的Fa0/0接口的ip设为:192.168.0.3/24;关闭其路由功能,模拟PC使用;p4SLinux联盟
    p4SLinux联盟
    实验结果要求:
    1、在R2上做访问控制列表,使R3不能telnet到R2;
    2、在R1上做访问控制列表,使R1不能ping通R2 。
    
    实验环境的基本配置:
    R1配置清单:   1、为R1的Fa0/0接口配置IP,并设为全双工模式:p4SLinux联盟
    R1(config)#int fa0/0p4SLinux联盟
    R1(config-if)#speed 100p4SLinux联盟
    R1(config-if)#duplex fullp4SLinux联盟
    R1(config-if)#ip add 192.168.0.1 255.255.255.0p4SLinux联盟
    R1(config-if)#no shutp4SLinux联盟
    R1(config-if)#exit
    2、为R1的S1/2接口配置IP:p4SLinux联盟
    R1(config)#int s1/2p4SLinux联盟
    R1(config-if)#ip add 192.168.1.1 255.255.255.0p4SLinux联盟
    R1(config-if)#no shutp4SLinux联盟
    R1(config-if)#exit
  
   R2的配置清单: p4SLinux联盟
    1、为R2的Fa0/0接口配置IP,并设为全双工模式:p4SLinux联盟
    R2(config)#int fa0/0p4SLinux联盟
    R2(config-if)#speed 100p4SLinux联盟
    R2(config-if)#duplex fullp4SLinux联盟
    R2(config-if)#ip add 192.168.2.2 255.255.255.0p4SLinux联盟
    R2(config-if)#no shutp4SLinux联盟
    R2(config-if)#exit
    2、为R2的S1/2接口配置IP:p4SLinux联盟
    R2(config)#int s1/2p4SLinux联盟
    R2(config-if)#ip add 192.168.1.2 255.255.255.0p4SLinux联盟
    R2(config-if)#no shutp4SLinux联盟
    R2(config-if)#exit
    3、在R2上增加一条静态路由以实现和R3通信:p4SLinux联盟
    R2(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.1
    4、在R2上设置用户密码和线路密码,为下一步的telnet服务:p4SLinux联盟
    R2(config)#enable password 123456p4SLinux联盟
    R2(config)#line vty 0 4p4SLinux联盟
    R2(config-line)#password 123456
   
    R3的配置清单: p4SLinux联盟
    R3(config)#no ip routing  //关闭路由功能,模拟PCp4SLinux联盟
    R3(config)#int fa0/0p4SLinux联盟
    R3(config-if)#speed 100p4SLinux联盟
    R3(config-if)#duplex fullp4SLinux联盟
    R3(config-if)#ip add 192.168.0.3 255.255.255.0p4SLinux联盟
    R3(config-if)#no shutp4SLinux联盟
    R3(config-if)#exit
   
    SW1的配置清单: p4SLinux联盟
    分别将fa1/13、fa1/14、fa1/15接口设为全双工模式:p4SLinux联盟
    SW1(config)#int fa1/13p4SLinux联盟
    SW1(config-if)#speed 100p4SLinux联盟
    SW1(config-if)#duplex fullp4SLinux联盟
    SW1(config-if)#exitp4SLinux联盟
    SW1(config)#int fa1/14p4SLinux联盟
    SW1(config-if)#speed 100p4SLinux联盟
    SW1(config-if)#duplex fullp4SLinux联盟
    SW1(config-if)#exitp4SLinux联盟
    SW1(config)#int fa1/15p4SLinux联盟
    SW1(config-if)#speed 100p4SLinux联盟
    SW1(config-if)#duplex fullp4SLinux联盟
    SW1(config-if)#exit
   
    所有的基本配置完成后,我们测试从R3tenlnet到R2,结果如下:
    R3#telnet 192.168.1.2
    Trying 192.168.1.2 ... Open
    User Access Verificationp4SLinux联盟
    Password:p4SLinux联盟
    R2>enp4SLinux联盟
    Password:p4SLinux联盟
    R2#exitp4SLinux联盟
    [Connection to 192.168.1.2 closed by foreign host]
    上面的结果说明我们的配置是正确的,现在我们就来在R2上配置访问控制列表,以实现“R3 不能telnet到R2”的实验要求。因为我们的拓扑中只用一台路由器模拟PC,所以我们的访问控制列表就设置为:拒绝R3这个源地址而允许其他主机可以访问R2 。
    
    实验结果要求1的实现:
    1、在R2上配置访问控制列表,拒绝R3这个源地址的访问:
    R2(config)#access-list 50 deny host 192.168.0.3p4SLinux联盟
    R2(config)#access-list 50 permit any
    2、将访问控制列表应用到VTY虚拟终端线路上:p4SLinux联盟
    R2(config)#line vty 0 4p4SLinux联盟
    R2(config-line)#access-class 50 inp4SLinux联盟
    R2(config-line)#exit
    配置完访问控制列表后,我们来验证一下:p4SLinux联盟
    R3#telnet 192.168.1.2p4SLinux联盟
    Trying 192.168.1.2 ...p4SLinux联盟
    % Connection refused by remote host
    从上面的结果中我们可以看到,R3根本找不到R2这台主机,说明R3的访问被R2拒绝了,下面我们来看看在R2上的访问控制列表中是否有拒绝R3访问的匹配数据:
    R2#show access-listsp4SLinux联盟
    Standard IP access list 50p4SLinux联盟
        10 deny   192.168.0.3 (1 match)p4SLinux联盟
        20 permit any
    看到了吧,来自R3(192.168.0.3)的访问被拒绝了!如果我们把R3的IP改为192.168.0.4,那么它就可以telnet到R2,这就印证了我们访问控制列表中的第二条语句:permit any
   
   实验结果要求2的实现:
    我们都知道,访问控制列表只能过滤流经路由器的流量,而对路由器自身发出的数据包不起作用。而ping命令就是路由器自身所发出的数据包,所以我们就要改变思路,既然无法过滤发出的数据包,那么我们就来拒绝返回的数据包,这样也就实现了R1不能ping通R2的要求,因为涉及到对协议的检查,所以我们要使用扩展访问控制列表:
    1、在R1上配置访问控制列表:p4SLinux联盟
    R1(config)#access-list 105 deny icmp host 192.168.1.2 host 192.168.1.1 echo-replyp4SLinux联盟
    R1(config)#access-list 105 permit ip any any
    2、将访问控制列表应用到R1的S1/2接口:p4SLinux联盟
    R1(config)#int s1/2p4SLinux联盟
    R1(config-if)#ip access-group 105 in
    下面我们验证一下,先从R1上ping R2,结果如下:p4SLinux联盟
    R1#ping 192.168.1.2p4SLinux联盟
    Type escape sequence to abort.p4SLinux联盟
    Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:p4SLinux联盟
    .....p4SLinux联盟
    Success rate is 0 percent (0/5)
    上面的结果显示,R1是ping不通R2的,现在我们再来看看R1上的访问控制列表是否有拒绝的匹配数据:p4SLinux联盟
    R1#show access-listp4SLinux联盟
    Extended IP access list 105p4SLinux联盟
       10 deny icmp host 192.168.1.2 host 192.168.1.1 echo-reply (15 matches)p4SLinux联盟
       20 permit ip any any
    看到了吧,实验完成!
Linux联盟收集整理 ,转贴请标明原始链接,如有任何疑问欢迎来本站Linux论坛讨论
评论】【加入收藏夹】【 】【打印】【关闭
※ 相关链接
 ·利用UNIX系统的TFTP和RCP配置路由器  (2007-12-03 11:08:29)
 ·路由器频繁掉线怎么办  (2007-11-30 11:44:53)
 ·如何进入cisco路由器配置模式  (2007-11-29 11:43:09)
 ·为什么确定毗邻路由器很重要  (2007-11-28 11:32:13)
 ·配置局域网中多台宽带路由器  (2007-11-28 11:31:29)
 ·路由器软件BUG引起IP地址冲突故障  (2007-11-28 11:30:51)
 ·保证路由器安全的十大基本技巧  (2007-11-28 11:29:17)
 ·Cisco路由器如何定位和装载IOS  (2007-11-26 11:57:04)
 ·实战路由器和交换机不通排障  (2007-11-26 11:56:32)
 ·正确配置路由协议合理使用路由器资源  (2007-11-20 10:26:41)
© CopyRight 2006-2009 xxlinux.com.Inc All Rights Reserved
Powered by xxlinux.com