Лабораторная 10.4: Расширенные списки доступа (Extended IP Access-Lists)
Primary tabs
Лабораторная 10.4: Расширенные списки доступа (Extended IP Access-Lists)
В этой лабораторной мы сначала удалим стандартный список на 2600A, затем создадим новый расширенный список доступа. Сценарий такой: нам нужно чтобы хост F использовал некие сетевые службы в подсети 172.16.40.0, но мы не хотим, чтобы с хоста F можно было выполнять telnet на маршрутизатор 2600A.
1. Удаляем стандартный список доступа с 2600A из прошлой лабораторной.
2600A#config t
no access-list 10
- выше видимо опечатка - чтобы удалить правило из предыдущей лабы надо выполнить = no access-list 20
2. Проверяем, что хост F может теперь выполнять ping на 172.16.40.1 и 172.16.40.3.
3. Создаем список доступа на 2600A для блокирования telnet-доступа в подсеть 172.16.40.0, но тем не менее, позволяем хосту F делать ping на хост E.
config t
access-list 110 deny tcp host 172.16.50.3 172.16.40.0 0.0.0.255 eq telnet
access-list 110 permit ip any any
4. Применяем сформированный таким образом расширенный список доступа к последовательному интерфейсу 0/0 маршрутизатора 2600A для входящих пакетов.
2600A(config)#interface serial 0/0 2600A(config-if)#ip access-group 110 in 2600A(config-if)#^z 2600A#
5. Проверяем, пытаясь сделать telnet на 172.16.40.1 с хостаF. Все прочие устройства должны иметь возможность делать telnet на 172.16.40.1.
Обратите внимание: Созданная в этой лабораторной конфигурация используется для выполнения следующей лабораторной - 10.5.
- Log in to post comments
- 3655 reads
vedro-compota
Tue, 12/18/2012 - 02:52
Permalink
после создания нового правила
после создания нового правила вы не можем подклчиться к маршрутизатору А по telnet c хоста F -но пинги при этом работают:
при этом с хоста С (к нему правило не относилось) подключиться по telnet можно:
_____________
матфак вгу и остальная классика =)