本文模拟了一个公司的环境,并尝试用ACL配置的方式只允许总裁办的网段能够访问财务服务器。
笔记本电脑,配置如下:Windows10企业版,32GB内存
eNSP1.3.00
0、总体拓扑如下:
1、2个PC,一个代表研发部(网段为192.168.1.1/24),一个代表总裁办(网段为192.168.2.1/24)
2、1个Server代表财务部(IP为192.168.3.100/24)
3、一个路由器模拟互联网(GE0/0/0的IP为1.1.1.1)
4、一个路由器作为各网段的默认网关,路由器选择AR2220(有3个GE口),另外再加上一个2FE模块。
5、连线:AR1和2个PC代表的网段和一个路由器代表的互联网都用GE口连接。AR1和财务部服务器用以太网口连接。
1、PC1配置静态IP和网关如下:
2、PC2配置静态IP和网关如下:
1、右击模拟互联网的路由器-》点击“CLI”
2、输入如下命令,为GE0/0/0配置IP1.1.1.1
system-view
sysname AR2
int g0/0/0
ip add 1.1.1.1 24
1、财务部服务器配置静态IP和网关如下:
1、输入如下命令,为路由器AR1的四个端口配置IP地址
system-view
sysname AR2
int g0/0/0
ip add 192.168.1.254 24
int g0/0/1
ip add 192.168.2.254 24
int g0/0/2
ip add 1.1.1.254 24
int eth4/0/0
ip add 192.168.3.254 24
1、右击PC1-》点击“设置”-》点击“命令行”
2、在命令行中ping 1.1.1.1,发觉不能ping通。
3、右击AR1-》点击“CLI”
4、输入命令display ip routing-table
,可以看到有一条到1.1.1.1的直连路由。之所以ping不通,是因为模拟互联网的路由器AR2上没有回到AR1的路由。
5、因此需要在AR2上配置一条默认路由。右击AR2-》点击“CLI”-》输入命令ip route-static 0.0.0.0 0 1.1.1.254
。
6、这时到PC1上再ping1.1.1.1,就能ping通了。同样,这时PC2和财务部服务器也可以ping通1.1.1.1,代表可以访问互联网了。
0、首先在PC1上尝试ping 192.168.3.100,发现当前可以ping通:
1、进入AR1的CLI进行配置,进入system-view
2、首先配置ACL
ACL 3000
3、配置第一条规则,禁止研发部网段访问财务服务器:
rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.100 0
4、配置第二条规则,允许总裁办访问财务服务器:
rule 20 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.3.100 0
5、配置第三条规则,进制其他网段访问财务服务器:
rule 30 deny ip source any destination 192.168.3.100 0
注意这里的192.168.3.100 0
中的0
实际上是0.0.0.0
的缩写,而0.0.0.0
实际上匹配的就是当前这一个IP。
6、进入以太网端口4/0/0,应用ACl规则进行流量过滤。注意,其实也可以在其他端口都这么用,但由于只要是192.168.3.100的流量,都会经过这个端口,因此在这个端口配置最方便。
int eth4/0/0
traffic-filter outbound ACL 3000
7、这时在PC1上无法访问财务部服务器,PC2上可以。