ACL学习：自反访问列表引入和配置

来源：思科认证发布时间：2012-11-09 思科认证视频评论

　　三台路由器串联，要求阻止R3对R1的远程访问（telnet），但只能在R2上做。R1可以对R3进行telnet登陆。

　　1 底层配置

interface Serial2/1ip address 12.0.0.1 255.255.255.0router eigrp 90network 12.0.0.0 0.0.0.255no auto-summary

interface Serial2/1ip address 12.0.0.2 255.255.255.0interface Serial2/2ip address 23.0.0.2 255.255.255.0router eigrp 90network 0.0.0.0no auto-summary

interface Serial2/1ip address 23.0.0.3 255.255.255.0router eigrp 90network 23.0.0.0 0.0.0.255no auto-summary

　　2 在R2上做ACL 拒绝R3对R1的所有TCP连接，但不能影响R1对R3的telnet

　　在这里我们先用扩展访问列表做一下，看能不能实现。

r2(config)#access-list 100 deny tcp host 23.0.0.3 host 12.0.0.1r2(config)#access-list 100 permit ip any anyr2(config)#int s2/2r2(config-if)#ip access-group 100 in    /  将ACL应用到接口

　　为了验证将R1和R3的VTY线路配置成直接登陆，无需密码。

r1(config)#line vty 0 4r1(config-line)#no loginr3(config)#line vty 0 4r3(config-line)#no login

　　现在进行验证。

r3#telnet 12.0.0.1Trying 12.0.0.1 ...% Destination unreachable; gateway or host down

　　在R3上无法telnetR1，访问列表起了作用。我们再去R1做一下验证。

r1#telnet 23.0.0.3Trying 23.0.0.3 ...% Connection timed out; remote host not responding

　　这时，R1也无法telnet R3 这可不是我们所希望的结果。那为什么会产生这种结果呢？这是因为R1向R3发起telnet请求时，是R1的一个随机端口与R3的23号端口通信。R3收到这个请求后，再用自己的23号端口向R1的随即端口回应。在这个例子中，R1向R3的请求，R3可以收到。但当R3向R1回应时，却被R2上的ACL阻止了。因为R2的ACL的作用是阻止R3向R1的所有TCP连接。这个TCP回应也就被阻止掉了，所以就间接的造成了R1无法telnet到R3.

视频学习

我考网版权与免责声明

① 凡本网注明稿件来源为"原创"的所有文字、图片和音视频稿件，版权均属本网所有。任何媒体、网站或个人转载、链接转贴或以其他方式复制发表时必须注明"稿件来源：我考网"，违者本网将依法追究责任；

② 本网部分稿件来源于网络，任何单位或个人认为我考网发布的内容可能涉嫌侵犯其合法权益，应该及时向我考网书面反馈，并提供身份证明、权属证明及详细侵权情况证明，我考网在收到上述法律文件后，将会尽快移除被控侵权内容。