使用ACL禁止TELNET应用.docVIP

使用ACL禁止TELNET应用 实验要求： 1.路由器名为R1、R2 2.R1的S1/2端口与R2的S2/1端口相连，IP 地址如图所示，在R2上设置特权密码为R2，线路密码为CISCO 3.从R1使用PING命令测试到R2的连通性，结果可达，但却不可以TELNET到R2 实验拓扑 基本配置 Router(config)#hostname R1R1(config)#interface serial 1/2R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#no shutdown Router(config)#hostname R2R2(config)#interface serial 2/1R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#no shutdown R2(config)#enable secret R2R2(config)#line vty 0 4R2(config-line)#password CISCOR2(config-line)#login 实验过程： 有两种方法可以实现这样的操作 方法一：使用扩展ACL 检测基本配置 在R1上TELNET R2 R1#telnet 192.168.1.2Trying 192.168.1.2 … Open User Access Verification Password: （输入正确的密码后，验证成功！）R2enPassword: （输入特权模式密码，进入特权模式）R2# 2. 创建ACL R2(config)#access-list 101 deny tcp host 192.168.1.1 any eq 23 //101代表扩展ACL（100-1999），telnet属于tcp协议，hosting代表绝对匹配一个主机 telnet协议的端口号是23R2(config)#access-list 101 permit ip any any R2(config)#interface serial 2/1R2(config-if)#ip access-group 101 in //调用ACL 3.检验效果 R1#telnet 192.168.1.2Trying 192.168.1.2 …% Destination unreachable; gateway or host down //TELNET不成功 R1#ping 192.168.1.2 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:!!!!! //可以ping通， 因为我们只拒绝了TELNT协议，ICMP协议我们是放行的。Success rate is 100 percent (5/5), round-trip min/avg/max = 24/48/72 ms 方法二：使用标准ACL 1.删除先前的配置 R2(config)#interface serial 2/1R2(config-if)#no ip access-group 101 in //去掉扩展ACL在接口的应用 R1#telnet 192.168.1.2Trying 192.168.1.2 … Open User Access Verification Password:R2 //能在R1上TELNET R2了说明配置删除 2.创建ACL R2(config)#access-list 1 deny host 192.168.1.1 //标准的ACL的范围是（1-99），标准的ACL只能检测源地址。R2(config)#access-list 1 permit any 3.应用ACL R2(config)#line vty 0 4R2(config-line)#access-class 1 in //在VTY线路中应用ACL 4.验证效果 R1#telnet 192.168.1.2Trying 192.168.1.2 …% Connection refused by remote host //TELNET不成功 总结：设置了2种ACL，但是得到的效果却不一样。如果是使用了扩展的ACL，那么它的提示