一、实验拓扑

 

二、配置过程

此处我用了学号后两位来划分网段，注意：先把网络做通再配ACL

1）网络连通测试

内网可以telnet外网

-----------

外网可以telnet内网

 

2）ACL配置（配置内网向外网发起的telnet被返回）

说明：外网不能telnet内网，但内网telnet外网时，需要配置记录，让其返回，根据上面的ACL配置，可以返回的，必须是标为chengqian，所以在此为内网发向外网的telnet标为chengqian，返回时，就会有缺口，因此内网能正常telnet外网，但外网不可主动telnet内网。

配置内网出去时，telnet被记录为chengqian,将会被允许返回

总结了一下老师上课说的那三个步骤：

1）先建立规则

2）标记应用到规则          //* 如这里是“chengqian”标记应用到goto规则

3）规则应用到接口

 

补充一句，步骤二那里还可以打一句“r1(config-ext-nacl)#deny ip any any ”，因为它隐含‘deny all’所以不打也可以。

 

三、测试

内网的AR1可以telnet外网路由器R4，但是ICMP包无法通过

-------

-

内网的AR2也可以telnet外网路由器R4

 --------------

外网的AR4不可以telnet内网路由器R1，而且ICMP包也无法通过

 -----

查看ACL

 

注意：本次实验我这里没有按实验文档测试ICMP，因为原理一样所以我就配了一条ACL测试telnet ，所以大家看到测试时说为什么PING不通它是有原因的，因为我并不有让ICMP通过路由器！！

 

  ------------------------------------------------------ 帅帅的结束分割线----------------------------------------------------------