
完成拓扑中各设备的基础配置,使得全网互通;
在上一个需求的基础上,在路由器上部署基础ACL,使得Client2无法访问Server,其他流量不 受影响。
Client1、Client2使用eNSP中的Client模拟,完成IP地址和网关的配置; Server使用eNSP中的Server模拟,完成IP地址和网关的配置。
路由器的基础配置如下:
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] ip address 192.168.1.254 24
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 10.1.1.254 24 完成上述配置后,全网即可实现互通。接下来在Router上部署ACL:
完成上述配置后,Client1依然是能够访问Server的,但是Client2已经无法访问Server了。ACL书写 好后,需要被调用才会生效。本例中在接口调用ACL并关联在inbound方向,使得ACL能够在接口 的入方向执行数据报文的过滤或放行。当ACL被应用在这种场景(务必注意场景)时ACL语句会在 末尾隐含允许所有(rule permit)。也就是说如果以上配置中,即使不配置rule permit,Client1也 能够访问到Server(该场景在eNSP,以及交换机S5300真机V2R3版本上验证过)。当然,配置了 这条rule,可以在display acl中看到被规则所匹配的报文个数。
[Router] acl 2000
[Router-acl-basic-2000] rule deny source 192.168.1.2 0.0.0.0
#禁止源IP为192.168.1.2的流量,上面的命令也可以简写成 rule deny source 192.168.1.2 0
[Router-acl-basic-2000] rule permit
#允许其他所有
#将ACL应用到GE0/0/0口in方向:
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] traffic-filter inbound acl 2000 [Router] display acl all
Total quantity of nonempty ACL number is 1
Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 deny source 192.168.1.2 0 (10 matches)
rule 10 permit (5 matches)