CCNA之五：訪問列表與telnet訪問控制

c1813

環(huán)境：兩臺路由器由串口相連。
要求：只允許R1的loop 1能ping 通R2的loop 0；并且在R2上做telnet訪問控制，只允許R1的loop 0能夠遠(yuǎn)程登錄，不能使用deny語句。


步驟一、連通性配置

r1的配置：
r1(config)#interface loopback 0
r1(config-if)#ip address 10.1.1.1 255.255.255.0
r1(config-if)#interface loopback 1
r1(config-if)#ip adress 10.1.2.1 255.255.255.0
r1(config-if)#interface s0
r1(config-if)#ip address 30.1.1.1 255.255.255.0
r1(config-if)#no shutdown
r1(config)#ip route 0.0.0.0 0.0.0.0 30.1.1.2   à配置缺省路由

r2的配置：
r2(config)#interface loopback 0
r2(config-if)#ip address 20.1.1.1 255.255.255.0
r2(config-if)#interface s1
r2(config-if)#ip address 30.1.1.2 255.255.255.0
r2(config-if)#clock rate 64000
r2(config-if)#no shutdown
r2(config)#ip route 0.0.0.0 0.0.0.0 30.1.1.1   à配置缺省路由

做ping測試:
r1#ping
Protocol [ip]:
Target IP address:20.1.1.1
Extended commands [n]: y
Source address or interface: 10.1.1.1
!!!!!

步驟二、配置VTY
r2(config)#username cisco privilege  15 password cisco
r2(config)#line vty 0 4
r2(config-line)#login local                                     à使用本地用戶數(shù)據(jù)庫

測試：
r1#telnet 30.1.1.2 /source-interface loopback 0  à使用回環(huán)接口做為源
Trying 30.1.1.2 ... Open


User Access Verification

Password:
r2>

r1#telnet 30.1.1.2 /source-interface loopback 1  à以LOOP 1做為源地址
Trying 30.1.1.2 ... Open


User Access Verification

Username:    cisco          à 輸入用戶名
Password:                       à輸入密碼，登錄r2
r2>


步驟三、配置訪問列表

r2(config)#access-list 102 permit icmp host 10.1.2.1 host 20.1.1.1
r2(config)#access-list 102 permit tcp any any eq telnet     à創(chuàng)建擴(kuò)展訪問列表102
r2(config)#interface s1
r2(config-if)#ip access-group 102 in            à將列表加載到接口
r2(config-if)#


ping測試:
r1#ping
Protocol [ip]:
Target IP address:20.1.1.1
Extended commands [n]: y
Source address or interface: 10.1.2.1
!!!!!

r1#ping
Protocol [ip]:
Target IP address:20.1.1.1
Extended commands [n]: y
Source address or interface: 10.1.1.1
…..


步驟四、創(chuàng)建telnet訪問列表

r2(config)#access-list 10 permit host 10.1.1.1  à創(chuàng)建標(biāo)準(zhǔn)訪問列表10
r2(config)#line vty 0 4
r2(config-line)#access-class 10 in            à加載列表10
r2(config-line)#exit
r2(config)#

測試:
r1#telnet 30.1.1.2
Trying 30.1.1.2 ...
% Connection refused by remote host

r1#telnet 30.1.1.2 /source-interface loopback 0
Trying 30.1.1.2 ... Open


User Access Verification

Password:
r2>

步驟五、顯示配置結(jié)果

訪問列表配置：
r2#show access-lists           à顯示訪問列表
Standard IP access list 10
    permit 10.1.1.1 (2 matches)
Extended IP access list 102
    Permit icmp host 10.1.2.1 host 20.1.1.1 (163 matches)
    permit tcp any any eq telnet (162 matches)

r1當(dāng)前配置：
r1#show running-config
hostname r1
no ip domain-lookup
!
interface Loopback0
ip address 10.1.1.1 255.255.255.0
!
interface Loopback1
ip address 10.1.2.1 255.255.255.0
!
interface Serial0
ip address 30.1.1.1 255.255.255.0
clockrate 64000
!
ip route 0.0.0.0 0.0.0.0 30.1.1.2
!
end

r2的當(dāng)前配置：
r2#show running-config
!
hostname r2
!
no ip domain-lookup
!
interface Loopback0
ip address 20.1.1.1 255.255.255.0
!
interface Serial1
ip address 30.1.1.2 255.255.255.0
ip access-group 102 in
!
ip route 0.0.0.0 0.0.0.0 30.1.1.1
!
access-list 10 permit 10.1.1.1
access-list 102 permit icmp host 10.1.2.1 host 20.1.1.1
access-list 102 permit tcp any any eq telnet
!
line vty 0 4
access-class 10 in
password cisco
login
!
end

總結(jié)：這個很簡單的一個lab。我希望大家注意一個就是
r2(config)#username cisco privilege  15 password cisco
上面這個句子是定義了cisco用戶的權(quán)限是15 level的，默認(rèn)情況下cisco的遠(yuǎn)程用戶不定義級別，只有在輸入enable的密碼后，才能擁有privilege 15 level的權(quán)限。但是如果定義了權(quán)限的話，那么telnet上去后，就直接進(jìn)入特權(quán)模式，而不需要知道enable的密碼了·！

請大家注意這個特性~！



本文來自ChinaUnix博客，如果查看原文請點(diǎn)：http://blog.chinaunix.net/u/1526/showart_1932948.html