過濾ping和過濾telnet的ACL是怎么樣的

本篇文章給大家分享的是有關過濾ping和過濾telnet的ACL是怎么樣的，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

  經常使用TCP/IP網絡的人，一定會用到ping和traceroute（Windows 系統為tracert）命令，這兩條命令是基于ICMP協議的。ICMP與其他協議一起為網絡發布錯誤報告，并提供使用其他協議時所發生的相關信息。

?我們知道ICMP提供了其他網絡服務和應用程序的大量信息，也可以使用ICMP來獲取企業網絡上的信息，因此作為網絡管理者是不希望將這些信息泄漏出來的。但是，如果沒有ICMP，網絡管理程序就不能工作，至少不能正常工作。過濾ICMP比過濾TCP、UDP都要難，因為ICMP信息多數是為了響應其他程序而產生的.

?正常情況下，我們使用的ICMP報文有：

?⑴echo-request：為ping使用的環路測試請求；
⑵echo-reply：為ping使用的環路測試回應；
⑶packet-too-big：某些程序用來偵測目標地址路徑上的MTU；
⑷time to live (TTL)  ttl-exceeded ：tracerouter 測試網絡報文生存周期；
⑸destination host unreachable：通知會話目標不可達。

看如下拓撲圖：

 如果只允許r0 可以ping r1，不允許r1來ping ro,我們可以這樣來配置。
r0(config)#access-list 101  permit  icmp host 12.1.1.2  host 12.1.1.1  echo-reply  
既允許12.1.1.2到12.1.1.1 返回的包，意思就是如果是12.1.1.2返回12.1.1.1的包就允許，而12.1.1.2主動發起的ping包就不允許。
r0(config)#interface e0/0
r0(config-if)#ip access-group 101  in     --進入接口并啟用ACL 101

關于過濾telnet,有兩種方法。根據telnet端口連接的原理，我們發現建立telnet連接時本機都是一個大于1024的端口與對方的23端口對應，我們可以這樣寫
r0(config)#access-list 100 permit  tcp  host 12.1.1.2 eq 23  host 12.1.1.1  gt 1024
既 只允許12.1.1.2的23端口訪問12.1.1.1大于1024的端口，這樣靈活應用TCP的端口號，實現了R0能TELNET進R1，而R1卻不能TELNET進R0。
r0(config)#interface e0/0
r0(config-if)#ip access-group 100 in
這種情況下ping也被禁止了。

或者也可以這樣
?r1(config)#access-list 12 permit 12.1.1.1  0 0.0.0.0
?r1(config)#line vty 0 4
? r1(config-line)#access-class 12 in
在r0上拒絕12.1.1.2,這種情況下ping沒有問題。

以上就是過濾ping和過濾telnet的ACL是怎么樣的，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。