技术背景:需要一个工具实现流量过滤
使用eNSP搭建一个实验环境拓扑图如下
需求如下:
需求1:先使PC1/PC2,Server1/Server2能互相通信
需求2:使PC1不能访问Server1/Server2,但能访问PC2
需求3:使PC2可以访问Server2,不能访问Server1
配置思路是首先需要让设备之间能互相通信配置PC1/PC2,Server1/Server2,IP/掩码/网关。配置路由器接口地址,配置静态路由。
<AR2>system-view
[AR2]interface GigabitEthernet 0/0/0
[AR2-GigabitEthernet0/0/0]ip address 192.168.10.254 24
[AR2-GigabitEthernet0/0/0]q
[AR2]interface GigabitEthernet 0/0/1
[AR2-GigabitEthernet0/0/1]ip address 12.1.1.1 24
[AR2-GigabitEthernet0/0/1]q
[AR2]ip route-static 192.168.20.0 24 12.1.1.2
<AR3>system-view
[AR3]interface GigabitEthernet 0/0/0
[AR3-GigabitEthernet0/0/0]ip address 12.1.1.2 24
[AR3-GigabitEthernet0/0/0]q
[AR3]interface GigabitEthernet 0/0/1
[AR3-GigabitEthernet0/0/1]ip address 192.168.20.254 24
[AR3-GigabitEthernet0/0/1]q
[AR3]ip route-static 192.168.10.0 24 12.1.1.1
配置到这里PC1/PC2,Server1/Server2已经能互相通信。需求1已完成。
接下来需要使PC1不能访问服务器1/服务器2,但能访问PC2,配置思路为
1.分析流量决定控制哪个流量。结果:PC1-->Server的流量
2.选择在哪个设备上做acl,原则:尽量靠近源端。结果:路由LSW1为2层设备不支持IP,所以在AR2上做acl
3.选择在哪个接口上做acl,in优先路由表,out需要先查看路由表
配置如下
<AR2>system-view
[AR2]acl number 2000 //配置规则编号为2000
[AR2-acl-basic-2000]rule 5 deny source 192.168.10.1 0 //拒绝PC1的流量通过,0为反掩码代表一个主机
[AR2-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255 //允许1.0网段所有流量通过
[AR2-acl-basic-2000]q
[AR2]interface GigabitEthernet 0/0/0
[AR2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 //将规则绑定在输入口上
[AR2-GigabitEthernet0/0/0]q
配置完毕后PC1可以访问PC2但是不能访问服务器1,服务器2,完成需求2。
需求3:需要使PC2可以访问服务器2,但不能访问服务器1。配置思路:PC2到服务器1和服务器2的流量区别在于目的ip,源IP都是PC2,此时需要使用高级acl。配置如下
<AR2>system-view
[AR2]acl number 3000
[AR2-acl-adv-3000]rule 5 deny ip source 192.168.10.2 0 destination 192.168.20.1
0 //拒绝pc2到目的服务器1 的流量通过
[AR2-acl-adv-3000]rule 1000 permit ip //允许所有IP通过
[AR2-acl-adv-3000]q
[AR2]interface GigabitEthernet 0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 3000 //输出口绑定规则
配置完成,可以看到PC2不能访问服务器1,但是能访问服务器2。需求3完成。
如果是想使PC2不能ping通服务器1,但是可以访问服务器1的网页的话可以这样配置
[AR2]acl number 3001
[AR2-acl-adv-3001]rule 5 deny icmp source 192.168.10.2 0 destination 192.168.20.
1 0 //拒绝PC2和Server1的ICMP通信ping不通
[AR2-acl-adv-3001]rule 10 permit tcp source 192.168.10.2 0 destination 192.168.2
0.1 0 destination-port eq 80 //运行访问端口80
[AR2-acl-adv-3001]q
[AR2]interface GigabitEthernet 0/0/0
[AR2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001 //绑定规则