检查接口下有无访问控制列表用 show ip interface e 0
查看访问控制列表,用 show access-lists,可以查看当前路由器上创建的所有访问控制列表
4台路由器通过串口相连
Router(config)#hos R1
R1(config)#no ip do lo
R1(config)# lin con 0
R1(config-line)#exec-t 0 0
R1(config-line)#logg s
R1(config-line)#int s 1/1
R1(config-if)#clo 64000
R1(config-if)#ip add 12.1.1.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#router osp 1
R1(config-router)#net 12.1.1.1 0.0.0.0 a 0
R1(config-if)#show ip route
同样配置R2 R3 R4采用OSPF路由协议
通过标准访问控制列表控制VTY访问,和通过扩展访问控制列表控制VTY访问
R1(config)#line vty 0 4
R1(config-line)#login local
R1(config-line)#exit
R1(config)#user *** password ***
R1(config)#int loo 1
R1(config)#ip add 1.1.1.1 255.255.255.0
R1(config)#router osp 1
R1(config-router)#net 1.1.1.1 0.0.0.0
在R1创建一个标准访问控制列表,不让R2、R3Telnet到R1,R4可以
access-list 1 deny 12.1.1.2 0.0.0.0 R2出口地址
access-list 1 deny 23.1.1.2 0.0.0.0 R3出口地址
access-list 1 permit any
R1(config)#show access list
R1(config)#line vty 0 4
R1(config-line)#access-class 1 in
R2#telnet 1.1.1.1 /source-interface serial 1/1 右边的接口
可以telnet,所以访问列表不够严密,重写访问控制列表如下
access-list 1 deny 12.1.1.2 0.0.0.0
access-list 1 deny 23.1.1.0 0.0.0.255
access-list 1 deny 34.1.1.1 0.0.0.0
access-list 1 permit any
或者这样写
access-list permit host 34.1.1.2
access-list deny any
在R1创建一个扩展访问控制列表,让R2、R3Telnet到R1,R4不可以,访问控制列表可以其他路由器上创建,挂在其他接口上都可以
R1(config)#no access-list 1 删掉之前创建的访问控制列表
R1(config)#line vty 0 4
R1(config-line)#no access-class 1 in
R2(config)#access-list 100 deny tcp 34.1.1.2 0.0.0.0 12.1.1.1 0.0.0.0 eq telnet
R2(config)#access-list 100 permit ip any any
R4不能Telnet 12.1.1.1,但可以Telnet 1.1.1.1 所以需重写访问控制列表
R2(config)#no access-list 100
R2(config)#access-list 100 deny tcp host 34.1.1.2 host 12.1.1.1 eq 23
R2(config)#access-list 100 deny tcp host 34.1.1.2 host 1.1.1.1 eq 23
R2(config)#access-list 100 per ip any any
或者这样写
R2(config)#no access-list 100
R2(config)#access-list 100 deny tcp host 34.1.1.2 any eq 23
R2(config)#access-list 100 permit any any