题目:使得只有总裁办能够访问财务部,研发部和互联网(即AR2)不能访问财务部。此处用AR2代替云,配置了1.1.1.1/24的网关地址,实际上互联网是没有固定ip地址的。
- 配置好ip地址和各网关地址之后,pc1、pc2、服务器之间能够相互ping通。
- 但是pc1不能ping通AR2,这是因为虽然AR1上有直联的接口,但是从AR2上的信息到不了PC1,所以回不去,所以PC1不能访问1.1.1.1/24。但是如果在AR2上加上一条命令:ip route-static 0.0.0.0 0 1.1.1.254,则ping通是没有问题的。
- 上两步骤如果ping不通的话,看看pc设置的ip之后有没有点击【应用】,或者再等待一段时间。
- 方法1(自己思考的,成功实现)
思路是用简单acl,在G4的角度看待源ip和目的ip,用outbound,此时研发部、总裁办和云网络都是属于源ip,财务部是属于目的ip。只允许总裁办进来,拒绝其它任何源ip,用上了基本acl的any。
[Router]acl 2000
[Router-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[Router-acl-basic-2000]rule deny source any
[Router-acl-basic-2000]q
[Router]int g4/0/0
[Router-GigabitEthernet4/0/0]traffic-filter outbound acl 2000
【基本acl可以不加ip,但是高级acl一定要加上ip或者tcp字段】
5、方法2(自己想的):
思路是将复杂acl 3001应用在G4口上,用inbound,此时财务部就是源ip研发部、总裁办和互联网就是目的ip,允许总裁办,拒绝研发部,拒绝互联网。
[Router]undo acl 2000 首先删除原来的acl
[Router]acl 3001
[Router-acl-adv-3001]rule permit ip source 192.168.3.0 0.0.0.255 destination 192
.168.2.0 0.0.0.255 //复杂acl是一定要加上ip或者tcp的,简单的则不用。
[Router-acl-adv-3001]rule deny ip source 192.168.3.0 0.0.0.255 destination 192.1
68.1.0 0.0.0.255
[Router-acl-adv-3001] rule deny ip source 192.168.3.100 0 destination any//拒绝其它任何目的ip,该语句经过机器修正后会自动变成rule 15 deny ip source 192.168.3.100 0
[Router-acl-adv-3001]int g4/0/0
[Router-GigabitEthernet4/0/0]traffic-filter inbound acl 3001
6、方法3(标准答案)
思路:不考虑outbound还是inbound,就将研发部、总裁办、互联网都作为源ip,将财务部作为目的ip。最后应用的时候,可以在G0、G1、G2上分别应用inbound,也可以在G4接口应用outbound(用outbound则和方法2相反)。
[Router]undo acl 3001
[Router]acl 3003
[Router-acl-adv-3003]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.1
68.3.100 0
[Router-acl-adv-3003]rule permit ip source 192.168.2.0 0.0.0.255 destination 192
.168.3.100 0
[Router-acl-adv-3003]rule deny ip source any destination 192.168.3.100 0 // 机器将其翻译成rule 20 deny ip destination 192.168.3.100 0
[Router-acl-adv-3003]int g4/0/0
[Router-GigabitEthernet4/0/0]traffic-filter outbound acl 3003
Error: A simplified ACL has been applied in this view.//出现此提示不要慌,是因为之前在G4接口配置了outbound和inbound,路由器的一个接口上只能在出入方向各使用一个acl列表,所以要删掉之前的配置。
[Router-GigabitEthernet4/0/0]undo traffic-filter outbound
[Router-GigabitEthernet4/0/0]undo traffic-filter inbound
[Router-GigabitEthernet4/0/0]display this
[Router-GigabitEthernet4/0/0]traffic-filter outbound acl 3003