技能比赛要求中涉及到了通过路由器限制一台计算机对主机服务器的访问这个话题,我们通过实验进行了解决,下面通过操作来使大家了解一下这一过程,同时也了解一下交换机与防火墙的结合。
首先,介绍一下路由器与防火墙的交互。
1、进入配置页面(详见上篇博客进入“超级终端”方法)http://blog.csdn.net/u010191243/article/details/17471081)
2、设置路由器接口IP地址 指令:interface ethernet0/0
ip address 192.168.1.1
interface ethernet0/1
ip address 192.168.2.1
3、开启防火墙 指令:Firewall Enable
4、设置规则(这里只使用了基本的) 指令:acl number 2000 rule 1
注 (acl:访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。)
5、限制IP网段或某具体IP 指令:rule 1 deny source 192.168.2.0 0.0.0.255(网段)或rule 1 deny source 192.168.2.2 0(具体IP)
6、设置默认网段处理办法 指令:default permit/deny(二选一,实验条件下我们选择了permit)
7、设置路由器的0/0端口 指令:Interface ethernet0/0
8、包过滤(要访问的信息) 指令:Firewall pack-filter 2000 inbound(流入)/outbound(流出)(二选一,实验条件下我们选择了inbound)
9、设置路由器的0/1端口,具体指令同8、9
通过上面的设置,在实验中我们达到了这样的效果:连接机器1(本文所说机器1均为控制主机)、路由器、机器2(ip为192.168.2.2)后,机器1与机器2无法通信;当改变机器2的ip为192.168.3.1后,二者可以通信。说明防火墙限制192.168.2.0网段成功。
下面介绍一下通过交换机限制网络访问。
首先,设置交换机管理ip地址为192.168.4.1 指令:ip address 192.168.4.1 255.255.255.0
然后设置机器2的ip地址为192.168.5.1,默认网关为192.168.5.1 (直接在电脑上设置)
结果:连接机器1、交换机、机器2后,机器1与机器2无法Ping通。
改变机器2的ip地址为192.168.4.4,默认网关为192.168.4.1后,机器1与机器2可以Ping通。
说明连接交换机后,只有机器的默认网关与交换机的IP地址相同时,通信与访问才能正常进行。