使用acl禁止telnet应用

《使用acl禁止telnet应用》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、使用ACL禁止TELNET应用实验要求：1.路由器名为R1、R22.R1的S1/2端口与R2的S2/1端口相连，IP地址如图所示，在R2上设置特权密码为R2，线路密码为CISCO3.从R1使用PING命令测试到R2的连通性，结果可达，但却不可以TELNET到R2实验拓扑基本配置Router(config)#hostnameR1R1(config)#interfaceserial1/2R1(config-if)#ipaddress192.168.1.1255.255.255.0R1(config-if)#noshutdownRouter(config)#h

2、ostnameR2R2(config)#interfaceserial2/1R2(config-if)#ipaddress192.168.1.2255.255.255.0R2(config-if)#noshutdownR2(config)#enablesecretR2R2(config)#linevty04R2(config-line)#passwordCISCOR2(config-line)#login实验过程：有两种方法可以实现这样的操作方法一：使用扩展ACL检测基本配置在R1上TELNETR2R1#telnet192.168.1.2Trying19

3、2.168.1.2…OpenUserAccessVerificationPassword:（输入正确的密码后，验证成功！）R2>enPassword:（输入特权模式密码，进入特权模式）R2#2.创建ACLR2(config)#access-list101denytcphost192.168.1.1anyeq23//101代表扩展ACL（100-1999），telnet属于tcp协议，hosting代表绝对匹配一个主机telnet协议的端口号是23R2(config)#access-list101permitipanyanyR2(config)#inter

4、faceserial2/1R2(config-if)#ipaccess-group101in//调用ACL3.检验效果R1#telnet192.168.1.2Trying192.168.1.2…%Destinationunreachable;gatewayorhostdown//TELNET不成功R1#ping192.168.1.2Typeescapesequencetoabort.Sending5,100-byteICMPEchosto192.168.1.2,timeoutis2seconds:!!!!!//可以ping通，因为我们只拒绝了TELNT协

5、议，ICMP协议我们是放行的。Successrateis100percent(5/5),round-tripmin/avg/max=24/48/72ms方法二：使用标准ACL1.删除先前的配置R2(config)#interfaceserial2/1R2(config-if)#noipaccess-group101in//去掉扩展ACL在接口的应用R1#telnet192.168.1.2Trying192.168.1.2…OpenUserAccessVerificationPassword:R2>//能在R1上TELNETR2了说明配置删除2.创建ACL

6、R2(config)#access-list1denyhost192.168.1.1//标准的ACL的范围是（1-99），标准的ACL只能检测源地址。R2(config)#access-list1permitany3.应用ACLR2(config)#linevty04R2(config-line)#access-class1in//在VTY线路中应用ACL4.验证效果R1#telnet192.168.1.2Trying192.168.1.2…%Connectionrefusedbyremotehost//TELNET不成功总结：设置了2种ACL，但是得到

7、的效果却不一样。如果是使用了扩展的ACL，那么它的提示是“%Destinationunreachable;gatewayorhostdown”，说明23端口根本不可达。如果使用了ACL放置在VTY线路中，则提示“%Connectionrefusedbyremotehost”，说明的确是到达了23号端口，只不过被拒绝了。在实际使用中最好使用扩展的ACL，减少23号端口的负担！！！