三台路由器串联,要求阻止R3对R1的远程访谒(telnet),但只能在R2上做。R1可以对R3进行telnet上岸。1 底层设置装备摆设 0 u* R; \! b+ P4 M
R1$ \6 A3 r* V/ w; ~& L
D; M% `3 n g1 Y) w
2 @- N6 z6 Z* ninterface Serial2/1ip address 12.0.0.1 255.255.255.0router eigrp 90network 12.0.0.0 0.0.0.255no auto-summary
, I$ H! S, ]: M R2" \& Q) \5 E! z# G
+ c: {2 U" o o+ x! R( I' W9 L& {# r1 w) _
interface Serial2/1ip address 12.0.0.2 255.255.255.0interface Serial2/2ip address 23.0.0.2 255.255.255.0router eigrp 90network 0.0.0.0no auto-summary" n. g& g, f7 Q' w" w
R33 J6 K* T- W. r1 l* z
/ k0 {; J( U" M& h+ w* r
) p1 k4 Y* g" Q" b3 ginterface Serial2/1ip address 23.0.0.3 255.255.255.0router eigrp 90network 23.0.0.0 0.0.0.255no auto-summary
( _6 r5 M* v* V- N* }: |5 u1 a8 U2 在R2上做ACL 拒绝R3对R1的所有TCP毗连,但不能影响R1对R3的telnet
3 l9 {+ W8 W5 `- R' W% U 在这里我们先用扩展访谒列表做一下,看能不能实现。, W1 p" a6 K, }1 g
: x: V4 w, H! t K s
# n+ I1 J* w; x- d3 x" H5 X( r
r2(config)#access-list 100 deny tcp host 23.0.0.3 host 12.0.0.1r2(config)#access-list 100 permit ip any anyr2(config)#int s2/2r2(config-if)#ip access-group 100 in / 将ACL应用到接口
! w3 q: z; _3 J7 {- a( Y* j 为了验证将R1和R3的VTY线路设置装备摆设成直接上岸,无需密码。
; [7 n$ x1 D# o( v @0 D" Y0 @ w
% c$ i, f1 w7 H
r1(config)#line vty 0 4r1(config-line)#no loginr3(config)#line vty 0 4r3(config-line)#no login
* F! B; m9 y9 l) j2 e" k 此刻进行验证。
( o e4 Y- F- f- f# H% T2 {6 `
' \( L+ `% K& r, W: n1 k. Y" ?& ~: I( ^* l% p7 [7 H) |7 g
r3#telnet 12.0.0.1Trying 12.0.0.1 ...% Destination unreachable; gateway or host down
1 o5 m6 ]* ], @' b3 V. n0 G 在R3上无法telnetR1,访谒列表起了浸染。我们再去R1做一下验证。& x! W& W6 k! O. Y
0 |2 c. s1 r% f
3 m, n9 b; ^3 [! K( [: R7 R# Zr1#telnet 23.0.0.3Trying 23.0.0.3 ...% Connection timed out; remote host not responding
- N, R3 ~0 X! m+ H 这时,R1也无法telnet R3 这可不是我们所但愿的结不美观。那为什么会发生这种结不美观呢?这是因为R1向R3倡议telnet请求时,是R1的一个随机端口与R3的23号端口通信。R3收到这个请求后,再用自己的23号端口向R1的随即端口回应。在这个例子中,R1向R3的请求,R3可以收到。但当R3向R1回应时,却被R2上的ACL阻止了。因为R2的ACL的浸染是阻止R3向R1的所有TCP毗连。这个TCP回应也就被阻止失踪了,所以就借居的造成了R1无法telnet到R3.
. E8 B$ t8 W0 z+ E, F/ C# U
* g& ~# z% b1 R$ L7 p 综上所述,在R2上用扩展访谒列表可以阻止R3自动向R1倡议的TCP毗连。但也阻止了R3被动向R1发的TCP回应。这是不合题意的。是以就今朝而言,扩展访谒列表无法知足这个需求。于是就引出了一个新型的访谒列表―――自反访谒节制列表。 |