目录

实验要求

实验拓扑图​

实验步骤

一、配置IP，实现全网可达

​ 测试    达到全网可达

 二、配置ACL协议

【1】同时关注源和目标ip地址 

【2】基于目标端口号来使用扩展ACL

测试

PC1

PC2

实验拓扑图

实验步骤

一、配置IP，实现全网可达

[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[r1-GigabitEthernet0/0/1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[r1-GigabitEthernet0/0/0]q
[r1]display ip interface brief   查看

[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip address 192.168.2.2 24
[r2-GigabitEthernet0/0/0]q
[r2]ip route-static 192.168.1.0 24 192.168.2.1
[r2]display ip interface brief

[pc1]int g0/0/0
[pc1-GigabitEthernet0/0/0]ip address 192.168.1.2 24
[pc1-GigabitEthernet0/0/0]q
[pc1]ip route-static 0.0.0.0 0 192.168.1.1  配置缺省路由
[pc1]display ip interface brief 

[pc2]int g0/0/0
[pc2-GigabitEthernet0/0/0]ip address 192.168.1.3 24
[pc2-GigabitEthernet0/0/0]q
[pc2]ip route-static 0.0.0.0 0 192.168.1.1
[pc2]display ip interface brief

 测试    达到全网可达

 二、配置ACL协议

【1】同时关注源和目标ip地址 

[r1]acl 3000

[r1-acl-adv-3000]rule deny ip source  192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0

[r1-acl-adv-3000]rule deny ip source  192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

[r1-acl-adv-3000]rule deny ip source  any destination any

[r1]interface GigabitEthernet 0/0/0     

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

【2】基于目标端口号来使用扩展ACL

Ping -- 测试命令  该命令属于ICMP协议--ICMP-Internet控制管理协议  拒绝该协议及拒绝ping

Telnet --远程登录  基于TCP目标端口号23工作；

被登录设备的条件：

1、登录与被登录设备间可达
2、被登录设备进行了telnet的配置

[r1]aaa  进入aaa服务

[r1-aaa]local-user panxi privilege level 15 password cipher 123456  设定账号和密码

[r1-aaa]local-user panxi service-type telnet  定义账号的功能

[r1-aaa]q

[r1]user-interface vty 0 4

[r1-ui-vty0-4]authentication-mode aaa  调用

测试

PC1

 

 PC2