實驗拓撲圖:
實驗要求:
1.pc、路由、交換基本配置,vlan間路由互通。
2.vlan20、vlan30可以訪問FTP,VLAN10不允許訪問FTP。
3.AR1通過easy-ip方式實現私網地址訪問外網。
4.只允許client1可以訪問WEB-SERVER的80端口,其它client不能訪問,放行其它的訪問流量。
5.在內網搭建FTP並允許外網用戶clent3訪問。
實驗步驟:
配置S1的5個接口
因為AR1連接4個不同的vlan,所以設置單臂路由:
將G0/0/0接口分為0/0/0.1, 0/0/0.2 ,0/0/0.3 ,0/0/0.4 ,
如下圖所示:
AR2的g0/0/0接口IP設置為12.1.1.2/24 g0/0/1接口IP設置為200.10.10.254/24
使用client1去ping12.1.1.1來檢測其連通性,發現連通性配置完成
Vlan之間ping(使用client1 ping client2的192.168.2.100的地址)
也能ping通
2.vlan20、vlan30可以訪問FTP,VLAN10不允許訪問FTP。
在AR1上設置添加ACL高級設置(ACL 3000-3999)
根據rule 5 permit tcp source 192.168.2.100 0.0.0.255 destination 192.168.4.100 0.0.0.255 destination-port eq 21
命令設置規則 命令含義:規則 5(規則號可以自己更改)permit (允許)tcp(協議)source (源IP)192.168.2.100 0.0.0.255(反向掩碼)destination (目的IP)192.168.4.100 0.0.0.255(反向掩碼)destination-port eq 21(服務端口號21)
即,允許vlan20訪問
同理設置vlan 30
因為ftp端口號為21(默認) ,在設置規則的時候可以自己更改,如果更改,不要忘記更改FTP服務器里面的端口號
拒絕 vlan 10 訪問 FTP服務器規則:
配置報文過濾,流量匹配3000:
開啟服務
選擇文件根目錄,然后點擊“啟動”
打開client 1 和 client 2 檢測看是否能登陸FTP
Client 2 可以登陸成功:
Client 1屬於vlan10 不可以登錄進ftp
讓AR1通過easy-ip方式實現私網地址訪問外網
先設置ACL 2000 (普通ACL 2000-2999)
外接口設置流量匹配2000:
使用Client1 ping 外網
並使用抓包工具發現ping 外網成功。
想要設置只允許client1可以訪問WEB-SERVER的80端口,其它client不能訪問,放行其它的訪問流量。要AR1設置ACL規則,並在接口使用traffic-filter命令對三層報文進行過濾(前提可以實現路由之間的通信搭建OSPF協議,一開始規則設好之后發現誰都不可以訪問,就是因為忘了)
設置ACL 規則:
Deny tcp source any (拒絕任意網絡訪問)
不過為了以防萬一,還是分別都設置了一下拒絕
在接口的內接口對三層報文進行過濾
發現不能設置,出錯原因是因為曾經設過一次,所以可以先把它undo 一下
然后再設置
同理g0/0/0.3 、 g0/0/0接口
AR1設置OSPF
AR2設置OSPF
然后使用client 1以及client 2的ping 測試外網:
開啟server1的HTTP服務:
然后使用client 1登陸Http 80 端口
使用client 2登陸測試:(不能訪問)
在內網搭建FTP並允許外網用戶clent3訪問
因為之前設置過ACL 3000設置ftp規則 ,所以可以在AR1上重新加一條允許外網訪問的規則,如下圖所示:
使用外網client 3 ping FTP服務器測試:
登陸FTP服務器測試:
完成實驗