路由器配置扩展ACL-网络设备实训

2023-11-17 理论教育版权反馈

【摘要】：实训目的通过本实训，掌握扩展访问列表的配置，理解扩展访问列表丰富的过滤条件。如图5-8所示，各设备IP地址设计如下，通过扩展ACL技术禁止192.168.0.0/24到PC-B的远程登入，但能ping通。Router-A:S1/2192.168.1.1/24；F1/0 192.168.0.1/24Router-B:S1/2192.168.1.2/24；F1/0 192.168.2.1/24PC-A:192.168.0.2/24 网关192.168.0.1PC-B:192.168.2.2/24 网关192.168.2.1图5-8扩展ACL配置实训图例实训设备路由器RG-R1762 2台，PC 2台，V.35线缆2条，网线2条。实训步骤首先按实训拓扑图连接各设备，然后按以下步骤进行功能配置。图5-10PC-A对PC-B能ping通但不能Telnet知识拓展常见网络

实训目的

通过本实训，掌握扩展访问列表的配置，理解扩展访问列表丰富的过滤条件。

如图5-8所示，各设备IP地址设计如下，通过扩展ACL技术禁止192.168.0.0/24到PC-B的远程登入，但能ping通。

Router-A:S1/2（DCE）192.168.1.1/24；F1/0 192.168.0.1/24

Router-B:S1/2（DTE）192.168.1.2/24；F1/0 192.168.2.1/24

PC-A:192.168.0.2/24 网关192.168.0.1

PC-B:192.168.2.2/24 网关192.168.2.1

pagenumber_ebook=128,pagenumber_book=123

图5-8　扩展ACL配置实训图例

实训设备

路由器RG-R1762 2台，PC 2台，V.35线缆2条（一条DCE，一条DTE），网线2条。

实训步骤

首先按实训拓扑图连接各设备，然后按以下步骤进行功能配置。

1.配置所有接口的地址，并测试连通性

Router-A（config）# interface fastEthernet1/0

Router-A（config-if）#ip add 192.168.0.1 255.255.255.0

Router-A（config-if）#no shutdown

Router-A（config-if）#exit

Router-A（config）#interface serial 1/2

Router-A（config-if）#ip add 192.168.1.1 255.255.255.0

Router-A（config-if）#clock rate 64000

Router-A（config-if）#no shutdown

Router-A（config-if）#end

Router-B（config）# interface fastEthernet1/0

Router-B（config-if）#ip add 192.168.0.1 255.255.255.0

Router-B（config-if）#no shutdown

Router-B（config-if）#exit

Router-B（config）#interface serial 1/2

Router-B（config-if）#ip add 192.168.1.2 255.255.255.0

Router-B（config-if）#no shutdown

Router-B（config-if）#end

2.配置静态路由

Router-A（config）#ip route 192.168.0.0 255.255.255.0 serial 1/2

Router-B（config）#ip route 192.168.2.0 255.255.255.0 serial 1/2

Router-A#show ip route

Codes：C-connected，S-static，R-RIP，B-BGP，BC-BGP connected

D-DEIGRP，DEX-external DEIGRP，O-OSPF，OIA-OSPF inter area

ON1-OSPF NSSA external type 1，ON2-OSPF NSSA external type 2

OE1-OSPF external type 1，OE2-OSPF external type 2

DHCP-DHCP type(www.chuimin.cn)

VRF ID：0

C 192.168.0.0/24 is directly connected，FastEthernet1/0

C 192.168.1.0/24 is directly connected，Serial1/2

S 192.168.2.0/24［1，0］via 192.168.1.2

Router-B#show ip route

Codes：C-connected，S-static，R-RIP，B-BGP，BC-BGP connected

D-DEIGRP，DEX-external DEIGRP，O-OSPF，OIA-OSPF inter area

ON1-OSPF NSSA external type 1，ON2-OSPF NSSA external type 2

OE1-OSPF external type 1，OE2-OSPF external type 2

DHCP-DHCP type

VRF ID：0

S 192.168.0.0/24［1，0］via 192.168.1.1

C 192.168.1.0/24 is directly connected，Serial1/2

C 192.168.2.0/24 is directly connected，FastEthernet1/0

3.如图5-9所示，验证PC-A能与PC-B通信

pagenumber_ebook=130,pagenumber_book=125

图5-9　验证PC-A能与PC-B通信

4.在Router-A上设置访问列表

Router-A#conf

Router-A（config）# access-list 192 deny tcp 192.168.0.0 0.0.255.255 host 192.168.2.2 eq 23

！定义扩展访问列表，拒绝Telnet

Router-A（config）# access-list192 permit ip any any

Router-A（config）#int f1/0

！进入离源比较近的接口

Router-A（config-if）#ip access-group 192 in

！绑定访问列表在“in”的方向

5.查看访问列表

Router-A#sh ip access-list

Extended IP access list192

deny tcp 192.168.0.0 0.0.255.255 host192.168.2.2 eq 23

permit ip any any

6.验证PC-A对PC-B能ping通，但不能实现远程登录

首先开启PC-B的Telnet服务，然后进行如图5-10所示的验证。

pagenumber_ebook=131,pagenumber_book=126

图5-10　PC-A对PC-B能ping通但不能Telnet

知识拓展

常见网络服务端口号

一台拥有IP地址的主机可以提供许多网络服务，比如Web服务、FTP服务、SMTP服务等，这些服务完全可以通过一个IP地址来实现。那么，主机怎样区分不同的网络服务呢？显然不能只靠IP地址，因为IP地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区分不同的服务的。下面是几种常见网络服务的端口号：文件传输协议　（FTP），21；远程登录　（Telnet），23；简单邮件传输协议（SMTP），25；超文本传输协议（HTTP），80；域名服务系统（DNS），53；普通文件传送协议（TFTP），69；MSN使用TCP/1863端口，QQ登录会使用到TCP、UDP协议的8000这两个端口，还有可能使用到TCP/UDP协议的4000端口进行通信。

路由器配置扩展ACL-网络设备实训

相关推荐