1.路由器名为:cisco1、cisco2;
2.cisco1的S0端口与cisco2的S0端口相连,IP地址如图所示,在cisco2上设置特权密码为cisco,线路密码为cisco;
3.从cisco1使用PING命令测试到cisco2的连通性,结果可达,但却不可以 telnet到cisco2。
二、拓扑
有两种方法实现
方法一:使用扩展ACL
1.检测基本配置
cisco2(config)#enable secret cisco
cisco2(config)#line vty 0 4
cisco2(config-line)#password cisco
cisco2(config-line)#login
cisco1#telnet 192.168.12.2
Trying 192.168.12.2 ... Open
User Access Verification
Password:
cisco2>------------验证成功!
2.创建ACL
cisco2(config)#access-list 101 deny tcp host 192.168.12.1 any eq 23
注:telnet属于TCP协议。代表绝对匹配一个主机。telnet协议的端口号是23。
cisco2(config)#access-list 101 permit ip any any
cisco2(config-if)#ip access-group 101 in
3.检验效果
cisco1#telnet 192.168.12.2
Trying 192.168.12.2 ...
% Destination unreachable; gateway or host down
cisco1#ping 192.168.12.2
Type escape sequence to abort.
Sending5, 100-byteICMP Echos to 192.168.12.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/156/364 ms
注:我们只拒绝了TELNET协议,但是ICMP协议我们是放行的。
方法二:使用标准ACL
1. 删除先前的配置
cisco2(config)#int s0
cisco2(config-if)#no ip access-group 101 in
cisco1#telnet 192.168.12.2
Trying 192.168.12.2 ... Open
User Access Verification
Password:
Password:
cisco2> ---------------------Cisco2上的配置被删除了
2.创建ACL
cisco2(config)#access-list 1 deny host 192.168.12.1
cisco2(config)#access-list 1 permit any
注:标准的ACL编号范围是1到99,和1300到1999。标准的ACL只能检测源地址。
3.应用ACL
cisco2(config)#line vty 0 4
cisco2(config-line)# access-class 1 in
注:在VTY线路中应用ACL。
4.验证效果
cisco1#telnet 192.168.12.2
Trying 192.168.12.2 ...
% Connection refused by remote host
小结:问设置了2种ACL,但是得到的效果却不一样。如果是使用了扩展的ACL,那么它的提示是“% Destination unreachable; gateway or host down”,说明23号端口根本不可达。如果是使用了标准的ACL放置在VTY 线路中,则提示“% Connection refused by remote host”,说明的确是到达了23号端口,只不过被拒绝了。在实际使用中最好使用扩展的ACL,减少23号端口的负担!
以下是华为数通路由交换方向完整技术分享,欢迎对华为网络技术感兴趣的小伙伴们订阅。【可在专栏中进行查看订阅】
华为新版HCIA数通路由交换
华为新版HCIP数通路由交换
华为新版HCIE数通路由交换
