Lưu ý khi dùng ACL để giới hạn IP nào được telnet router

Ví dụ tôi có mô hình này, tôi cần cấm R1 telnet đến R3.

Ta có 2 cách thực hiện :

- Tạo ACL rồi áp vào 1 trong 2 vị trí. Vị trí đầu tiên là line vty trên R3:

line vty 0 4

ip access-class (ACL)  inên>

Vị trí thứ 2 là áp vào cổng, giả sử ta chọn cổng e0/0 của R1, chiều out

int e0/0

ip access-group (ACL)  outên>

Nhưng ta lưu ý là: khi áp vào line vty ta cần dùng standard ACL mới có tác dụng, ví dụ standard ACL:

access-list 1 deny 10.1.2.1
access-list 1 permit any

Còn khi áp vào cổng e0/0 của R1 thì ta cần dùng ACL extended, ví dụ khai báo ACL extended:

access-list 100 deny tcp host 10.1.2.1 host 10.2.3.3 eq telnet
access-list 100 permit ip any any

Vì nếu ta dùng ACL standard rồi áp vào cổng R1,chiều out , thì nó cứ thấy IP của R1 là chặn, bất kể telnet hay port khác , đi đâu cũng đều bị chặn.

Case cụ thể: Cấu hình sao cho R1 không được telnet vào loopback 3.3.3.3 của R3 => ca này ta không thể apply vào line vty mà phải dùng ACL extended rồi áp vào cổng router

Chốt lại:

Nếu bạn áp vào line vty : cần dùng ACL standard

Nếu bạn áp vào cổng, cần dùng ACL extended với cổng telnet 23.

Cùng join nhóm bit.ly/lab-network để thảo luận