|
|
马上注册成为ROSABC会员,随时发帖回复。
您需要 登录 才可以下载或查看,没有账号?会员注册
x
方法一:使用扩展ACL
1.检测基本配置
45 sibo2(config)#enable secret sibo
sibo2(config)#line vty 0 4
sibo2(config-line)#password cisco
sibo2(config-line)#login
sibo1#telnet 192.168.12.2
Trying 192.168.12.2 ... Open
User Access Verification
Password:
sibo2>------------验证成功!
2.创建ACL
sibo2(config)#access-list 101 deny tcp host 192.168.12.1 any eq 23
注:telnet属于TCP协议。代表绝对匹配一个主机。telnet协议的端口号是23。
sibo2(config)#access-list 101 permit ip any any
sibo2(config-if)#ip access-group 101 in
3.检验效果
sibo1#telnet 192.168.12.2
Trying 192.168.12.2 ...
% Destination unreachable; gateway or host down
sibo1#ping 192.168.12.2
Type escape sequence to abort.
Sending5, 100-byteICMP Echos to 192.168.12.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/156/364 ms
注:我们只拒绝了TELNET协议,但是ICMP协议我们是放行的。
方法二:使用标准ACL
1. 删除先前的配置
sibo2(config)#int s0
sibo2(config-if)#no ip access-group 101 in
sibo1#telnet 192.168.12.2
Trying 192.168.12.2 ... Open
User Access Verification
Password:
Password:
sibo2> ---------------------Sibo2
上的配置被删除了
46
2.创建ACL
sibo2(config)#access-list 1 deny host 192.168.12.1
sibo2(config)#access-list 1 permit any
注:标准的ACL编号范围是1到99,和1300到1999。标准的ACL只能检测源地址。
3.应用ACL
sibo2(config)#line vty 0 4
sibo2(config-line)# access-class 1 in
注:在VTY线路中应用ACL。
4.验证效果
sibo1#telnet 192.168.12.2
Trying 192.168.12.2 ...
% Connection refused by remote host
问题分析:设置了2种ACL,但是得到的效果却不一样。如果是使用了扩展的ACL,那
么它的提示是“% Destination unreachable; gateway or host down”,说明23号端口根本不可达。
如果是使用了标准的ACL放置在VTY 线路中,则提示“% Connection refused by remote host”,
说明的确是到达了23号端口,只不过被拒绝了。在实际使用中最好使用扩展的ACL,减少
23号端口的负担!
|
评分
-
查看全部评分
|
发表于 2014-8-8 17:11:17