【实训目的】
掌握在交换机上编号的扩展IP访问列表规则及配置。
【背景描述】
你是学校的网络管理员,在3560-24交换机上连着学校提供 Telnet的服务器,另外还连接着学生宿舍楼和教工宿舍楼,学校规定 学生不能对服务器进行Telnet访问,而教工则没有此限制。
提示:设R1为学校服务器,R2为教工宿舍楼的路由,R3为学生宿舍楼的路由
步骤1 设计拓扑结构
步骤 2 三个路由器的基本配置
按拓扑上的表示给三台路由器对应的端口配置 ip,以及给每个路由器 配 置 相 应 的 静 态 默 认 路 由 。
R1:
R2:
R3:
对于 R1,由于需要做 telnet 服务器,要配置登录用户数和登录密码
R1:
步骤 3 在三层交换机上将端口划分到相应 VLAN,并能够使全网互
通
先分别创建 3 个 vlan,分别为 vlan10,vlan20,vlan30
然后将 0/1, 0/2,0/3 三个端口绑定相应的 vlan,并给每个端口按拓扑图所示配置 相应的 ip 地址。
步骤 4 在三层交换机上配置访问列表
!在列表号为 110 的扩展访问列表上禁止 192.168.30.0 到 192.168.10.0 网段的 telnet 访问S1<config>#access-list 110 permit ip any any !允许其它的访问 !在 vlan 30 上加入 110 的规则
步骤五 测试
- 在三台路由器上,ping 全网各个端口都可以通;
R1:
R2:
R3:
2.在交换机上
3、R2 利用 telnet 访问 R1 可以输入密码登录,但 R3 不能 telent 登 录 R1。
R3#telnet 192.168.10.2
!R3 telnet R1 失败,但 R3 仍可以 ping 通全网
