使用ACL禁止TELNET应用

[align=center]使用ACL禁止TELNET应用[/align]



R1的基本配置
R1>en
R1#
R1#configt
R1(config)#inters0/0
R1(config-if)#ipadd192.168.12.1255.255.255.0
R1(config-if)#noshut
R1(config-if)#exit
R1(config)#linevty04
R1(config-line)#passwordcisco
R1(config-line)#login

R2的基本配置
R2>en
R2#
R2#configt
R2(config)#inters0/0
R2(config-if)#ipadd192.168.12.2255.255.255.0
R2(config-if)#noshut
R2(config-if)#exit
R2#telnet192.168.12.1
Trying192.168.12.1...Open

UserAccessVerificationPassword:
R1>~~~~~~~~~~验证成功，可以从R2telnet到R1上。

（一）、方法1：使用扩展ACL
1、创建ACL
R1#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R1(config)#access-list101denytcphost192.168.12.2anyeq23
R1(config)#access-list101permitipanyany
R1(config)#inters0/0
R1(config-if)#ipaccess-group101in
R1(config-if)#
2、检验效果
R2#telnet192.168.12.1
Trying192.168.12.1...
%Destinationunreachable;gatewayorhostdown
R2#ping192.168.12.1Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto192.168.12.1,timeoutis2seconds:
!!!!!
Successrateis100percent(5/5),round-tripmin/avg/max=20/32/44ms
注：我们只拒绝了TELNET协议，但ICMP协议是放行的。
（二）、方法二：使用标准ACL
1、删除原来的配置
R1(config)#inters0/0
R1(config-if)#noipaccess-group101in
R1(config-if)#exit
R1(config)#

R2#
R2#telnet192.168.12.1
Trying192.168.12.1...Open
UserAccessVerificationPassword:
R1>~~~~~~~~~~~~~~R1上原来的扩展ACL被删除了。

2、创建ACL
R1(config)#access-list1denyhost192.168.12.2

R1(config)#access-list1permitany
R1(config)#
标准的ACL编号范围是1到99，和1300到1399，标准的ACL只能检测源地址。

3、应用ACL
R1(config)#linevty04
R1(config-line)#access-class1in
R1(config-line)#

4、检验效果
R2#telnet192.168.12.1
Trying192.168.12.1...
%ConnectionrefusedbyremotehostR2#

总结：应用了两种ACL,但是得到的效果不一样，使用扩展ACL，得到的提示是“%Destinationunreachable;gatewayorhostdown”，说明23号端口不可达。如果使用标准ACL放置在VTY线路中，得到的提示是“%Connectionrefusedbyremotehost”，说明是到达了23号端口，只不过是被拒绝掉了。在实际环境中，还是尽量采用扩展ACL，来减轻23端口的压力。本文出自 “云飞扬” 博客，请务必保留此出处http://gezhongyun.blog.51cto.com/486411/1297605