一、实验步骤
1.1 实验拓扑图
1.2 需求及分析:
- 需求
1、实现全网互通
2、设置标准访问控制列表,使VLAN10与VLAN20不能通信
3、配置扩展访问控制列表,使AR1不能访问ftp服务器,但其他流量不受影响
- 实验分析:
1、实现全网互通:
要实现全网互通就应该对SW1、AR1、AR3进行正确配置,第一步要在SW1中创建VLAN10与20,并分别将E0/0/1至0/0/4接口设置为access口,g0/0/1设置为trunk口;第二步要在AR1上配置单臂路由(子接口)与向上的一条默认路由;第三步在AR3上配置分别配置到192.168.10.0网段与192.168.20.0网段的静态路由即可实验全网互通
2、设置标准访问控制列表,使VLAN10与VLAN20不能通信:
在AR1上配置ACL列表,指定列表号并禁止源IP网段,并放通其他所有IP,最后在20段的出接口g0/0/0.20上调用ACL列表即可
3、配置扩展访问控制列表,使AR1不能访问ftp服务器,但其他流量不受影响:
在AR2上(靠近源的位置)配置ACL列表,禁止12.1.1.1访问FTP服务器202.10.100.100的20、21端口(也就是设置了禁止访问ftp服务端口),放通其他IP流量,最后在g0/0/0调用ACL列表即可
1.3 实验详细步骤及配置:
1、配置4台PC机及FTP服务器地址并启用FTP服务器
2、在SW1上进行如下配置:
<Huawei>sy
[Huawei]sy SW1
[SW1]vlan batch 10 20
[SW1]interface Ethernet 0/0/1
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-Ethernet0/0/1]interface e0/0/2
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/2]port default vlan 20
[SW1-Ethernet0/0/2]interface e0/0/3
[SW1-Ethernet0/0/3]port link-type access
[SW1-Ethernet0/0/3]port default vlan 10
[SW1-Ethernet0/0/3]interface e0/0/4
[SW1-Ethernet0/0/4]port link-type access
[SW1-Ethernet0/0/4]port default vlan 20
[SW1-Ethernet0/0/4]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
3、在AR1上进行如下配置:
<Huawei>sy
[Huawei]sy R1
[R1]v b 10 20
[R1]int GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 12.1.1.1 24
[R1-GigabitEthernet0/0/1]interface GigabitEthernet0/0/0.10
[R1-GigabitEthernet0/0/0.10]dot1q termination vid 10
[R1-GigabitEthernet0/0/0.10]ip address 192.168.10.1 24
[R1-GigabitEthernet0/0/0.10]arp broadcast enable
[R1-GigabitEthernet0/0/0.10]interface GigabitEthernet 0/0/0.20
[R1-GigabitEthernet0/0/0.20]dot1q termination vid 20
[R1-GigabitEthernet0/0/0.20]ip address 192.168.20.1 24
[R1-GigabitEthernet0/0/0.20]arp broadcast enable
[R1-GigabitEthernet0/0/0.20]quit
[R1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
4、在AR3上进行如下配置:
<Huawei>sy
[Huawei]sy R3
[R3]interface GigabitEthernet 0/0/0
[R3-GigabitEthernet0/0/0]ip address 12.1.1.2 24
[R3-GigabitEthernet0/0/0]interface GigabitEthernet0/0/1
[R3-GigabitEthernet0/0/1]ip address 202.10.100.1 24
[R3-GigabitEthernet0/0/1]quit
[R3]ip route-static 192.168.10.0 24 12.1.1.1
[R3]ip route-static 192.168.20.0 24 12.1.1.1
到这一步位为止可以实现全网互通,现在进行测试:
5、下面在AR1上进行标准ACL配置
[R1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255
[R1-acl-basic-2000]rule permit source any
[R1-GigabitEthernet0/0/0.20]traffic-filter outbound acl 2000
## 查看一下是否配置成功:
[R1]display acl 2000
Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 deny source 192.168.10.0 0.0.0.255
rule 10 permit
进行测试,看PC1是否还能Ping通PC2
在进行扩展ACL配置前,先在AR1上尝试连接FTP服务器
6、最后在AR3上进行扩展ACL列表配置
[R3-acl-adv-3000]rule deny tcp source 12.1.1.1 0 destination 202.10.100.100 0 destination-port eq 21
[R3-acl-adv-3000]rule deny tcp source 12.1.1.1 0 destination 202.10.100.100 0 destination-port eq 20
[R3-acl-adv-3000]rule permit ip source any destination any
[R3-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
再次用AR1访问FTP服务器
已经不能访问了,但是可以ping通