一、实验拓扑
二、配置过程
此处我用了学号后两位来划分网段,注意:先把网络做通再配ACL
1)网络连通测试
内网可以telnet外网
-----------
外网可以telnet内网
2)ACL配置(配置内网向外网发起的telnet被返回)
说明:外网不能telnet内网,但内网telnet外网时,需要配置记录,让其返回,根据上面的ACL配置,可以返回的,必须是标为chengqian,所以在此为内网发向外网的telnet标为chengqian,返回时,就会有缺口,因此内网能正常telnet外网,但外网不可主动telnet内网。
配置内网出去时,telnet被记录为chengqian,将会被允许返回
总结了一下老师上课说的那三个步骤:
1)先建立规则
2)标记应用到规则 //* 如这里是“chengqian”标记应用到goto规则
3)规则应用到接口
补充一句,步骤二那里还可以打一句“r1(config-ext-nacl)#deny ip any any ”,因为它隐含‘deny all’所以不打也可以。
三、测试
内网的AR1可以telnet外网路由器R4,但是ICMP包无法通过
-------
-
内网的AR2也可以telnet外网路由器R4
--------------
外网的AR4不可以telnet内网路由器R1,而且ICMP包也无法通过
-----
查看ACL
注意:本次实验我这里没有按实验文档测试ICMP,因为原理一样所以我就配了一条ACL测试telnet ,所以大家看到测试时说为什么PING不通它是有原因的,因为我并不有让ICMP通过路由器!!
------------------------------------------------------ 帅帅的结束分割线----------------------------------------------------------