一、实验需求
- PC1、PC3 自动获取ip地址。
- 配置静态路由使得全网互通。
- R2上面启用 Telnet 服务,方便远程管理(用户名:aa 密码:Huawei@123)
- 拒绝财务部和市场部用户互访。
- 在R2上配置ACL仅允许PC5 远程telnet控制。
- 在R2上配置ACL拒绝PC2 访问Server1 的HTTP服务,但可以ping通。
- 在R1上配置ACL拒绝PC4 ping Server1 但可以访问其HTTP服务。
二、实验拓扑
拓扑描述:
R1:作为所有PC的网关。
财务部用户:192.168.1.0/24
市场部用户:192.168.2.0/24
Server1:HTTP 服务器地址为7.7.7.7/24
PC1、PC3:DHCP动态分配IP地址
PC2:192.168.1.2
PC4:192.168.2.2
PC5(由路由器模拟):192.168.1.3
三、配置过程
/* 1,配置接口IP地址 */
略
/* 2,配置DHCP */
/* R1 */
[R1] int g0/0/0 // 进入g0/0/0接口
[R1-GigabitEthernet0/0/0] dhcp select interface // 开启该接口的dhcp服务(自动分配该接口网段的ip地址)
[R1-GigabitEthernet0/0/0] int g0/0/1 // 进入g0/0/1接口
[R1-GigabitEthernet0/0/1] dhcp select interface // 开启该接口的dhcp服务
/* 3,配置静态路由 */
/* R1 */
[R1] ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 // 目的网段为任意网络,下一跳为12.1.1.2的静态路由
/* R2 */
[R2] ip route-static 192.168.1.0 255.255.255.0 12.1.1.1 // 目的网段为192.168.1.0/24,下一跳为12.1.1.1的静态路由
[R2] ip route-static 192.168.2.0 255.255.255.0 12.1.1.1 // 目的网段为192.168.2.0/24,下一跳为12.1.1.1的静态路由
/* 4,在R2上启动Telnet服务 */
/* R2 */
[R2] telnet server enable // 开启telnet服务
[R2] aaa // 进入aaa认证
[R2-aaa] local-user aa privilege level 3 // 配置用户aa的等级为3
[R2-aaa] local-user aa password cipher Huawei@123 // 配置用户aa的登陆密码为Huawei@123,密文显示
[R2-aaa] local-user aa service-type telnet // 配置用户aa的服务类型为telnet
[R2-aaa] quit // 退出aaa
[R2] user-interface vty 0 4 // 进入vty视图
[R2-ui-vty0-4] authentication-mode aaa // 配置vty的认证方式为aaa
/* 5,拒绝财务部和市场部互访 */
/* R1 */
[R1] acl 3001 // 创建并进入acl3001
[R1-acl-adv-3001] rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 // 配置拒绝192.168.1.0/24网段到192.168.2.0/24网段的acl规则(拒绝财务部到市场部)
[R1-acl-adv-3001]acl 3002 // 创建并进入acl3002
[R1-acl-adv-3002] rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 // 配置拒绝192.168.2.0/24网段到192.168.1.0/24网段的acl规则(拒绝市场部到财务部)
[R1-acl-adv-3002] int g0/0/0 // 进入g0/0/0接口
[R1-GigabitEthernet0/0/0] traffic-filter inbound acl 3001 // 配置该接口入方向的流量过滤规则为acl 3001
[R1-GigabitEthernet0/0/0] int g0/0/1 // 进入g0/0/1接口
[R1-GigabitEthernet0/0/1] traffic-filter inbound acl 3002 // 配置该接口入方向的流量过滤规则为acl 3002
/* 6,R2上配置ACL仅允许PC5 远程telnet控制 */
/* R2 */
[R2] acl 3001
[R2-acl-adv-3001] rule 5 permit ip source 192.168.1.3 0 // 配置允许ip地址192.168.1.3的acl规则
[R2-acl-adv-3001] rule 10 deny ip // 配置拒绝所有ip的acl规则(选配)
[R2-acl-adv-3001] quit // 退出acl 3001
[R2] user-interface vty 0 4 // 进入vty视图
[R2-ui-vty0-4] acl 3001 inbound // 配置vty的规则为acl 3001(仅允许IP地址为192.168.1.3的设备远程访问,其他的ip地址都拒绝)
※ acl 调用在vty 接口下,用来匹配范围,默认拒绝所有(因此上面acl 3001中编号为10的规则在此处可以不配)
/* 7,在R2上配置ACL拒绝PC2访问Server1 的HTTP服务,但可以ping通(ICMP服务可以访问) */
/* R2 */
[R2] acl 3002
[R2-acl-adv-3002] rule 5 deny tcp source 192.168.1.2 0 destination 7.7.7.7 0 destination-port eq www // 拒绝192.168.1.2访问7.7.7.7的tcp协议www端口(80)
※ tcp协议的80端口为HTTP服务
[R2-acl-adv-3002] int g0/0/1
[R2-GigabitEthernet0/0/1] traffic-filter outbound acl 3002 // 配置该接口出方向流量过滤的规则为acl 3002
/* 8,在R1上配置ACL拒绝PC4 ping Server1 但可以访问其HTTP服务 */
/* R1 */
[R1] acl 3002
[R1-acl-adv-3002] rule 10 deny icmp source 192.168.2.2 0 destination 7.7.7.7 0 // 拒绝192.168.2.2访问7.7.7.7的icmp协议
[R1-acl-adv-3002] int g0/0/1
[R1-GigabitEthernet0/0/1] traffic-filter inbound acl 3002 // 配置该接口出方向流量过滤的规则为acl 3002
四、调试命令
- display acl all // 查看acl的所有配置信息
五、思考问题
-
如果将静态路由换成OSPF,则ACL的配置是否需要改变?
答:不需要,因为更换为动态路由OSPF,其网段不会改变(acl配置都是基于IP地址与网段的)
-
上述拓扑中,能否在R1上配置ACL拒绝PC1和PC2互访?
答:不可以,因为PC1访问PC2,不会经过R1