路由器ACL配置实践：阻止R3 telnet到R2及R1 ping通R2

"路由器ACL实验详细过程讲解" 本实验旨在介绍如何在路由器上配置访问控制列表（Access Control List，简称ACL），以实现特定的网络访问限制。实验涉及到三个路由器R1、R2和R3，以及一个模拟PC的R3设备。实验的主要目标是设置ACL，阻止R3对R2的telnet访问，以及防止R1能够ping通R2。 首先，我们需要了解ACL的基本概念。ACL是路由器或交换机中用于过滤网络流量的一种机制，它允许或拒绝数据包基于预定义的规则通过接口。在Cisco设备中，ACL可以基于IP地址、端口号、协议类型等条件进行设置。 实验环境配置如下： - R1的FastEthernet0/0接口IP地址为192.168.0.1/24，S1/2接口IP地址为192.168.1.1/24。 - R2的FastEthernet0/0接口IP地址为192.168.2.2/24，S1/2接口IP地址为192.168.1.2/24。 - R3的FastEthernet0/0接口IP地址为192.168.0.3/24，且关闭了路由功能。 在R2上配置ACL以阻止R3 telnet访问： 1. 进入全局配置模式：`R2(config)#` 2. 创建标准IP ACL，例如命名为`no_telnet`：`R2(config)#access-list10 deny tcp any host 192.168.0.3 eq telnet` 3. 允许所有其他未被明确拒绝的流量：`R2(config)#access-list10 permit ip any any` 4. 将ACL应用到R2的S1/2接口，阻止来自R3的telnet流量：`R2(config)#interface S1/2` `R2(config-if)#ip access-group 10 out` 在R1上配置ACL以阻止ping R2： 1. 进入全局配置模式：`R1(config)#` 2. 创建标准IP ACL，例如命名为`no_ping`：`R1(config)#access-list11 deny icmp any host 192.168.2.2 echo` 3. 允许所有其他未被明确拒绝的流量：`R1(config)#access-list11 permit ip any any` 4. 将ACL应用到R1的S1/2接口，阻止ping R2的流量：`R1(config)#interface S1/2` `R1(config-if)#ip access-group 11 in` 完成以上配置后，实验的目标将得以实现。R3将无法通过telnet连接到R2，而R1也无法ping通R2。请注意，这些配置仅应用于实验所描述的特定接口和方向，其他接口和方向的流量不受影响。在实际网络环境中，需要根据具体需求来调整和应用ACL。此外，配置完成后，应使用`show ip access-list`命令检查ACL的状态，确保它们按预期工作。