高级 ACL 有多强?一个规则搞定 “IP + 端口 + 协议” 三重过滤
一、实验拓扑及描述
二、实验需求
1、完成拓扑中各设备的基础配置,使得全网互通;
2、在上一个需求的基础上,在路由器上部署高级ACL,使得Client1无法访问Server的HTTP服务,但是PC1依然能够访问服务器及其他节点;其他流量不做限制。
三、实现步骤及配置
PC1、Client1使用eNSP中的Client模拟,完成IP地址和网关的配置; Server使用eNSP中的Server模拟,完成IP地址和网关的配置,并且开启HTTP服务。
路由器的基础配置如下:
#
sysname AR1
#
interface GigabitEthernet0/0/0
description to Server1_IP
ip address 10.10.201.254 255.255.255.0
#
interface GigabitEthernet0/0/1
description to PC_IP
ip address 192.168.201.254 255.255.255.0
#
未配置ACL之前,PC1/Client1都能访问server:
#完成上述配置后,全网即可实现互通。接下来在Router上部署ACL:
acl number 3001
#禁止源为192.168.201.5、目的为10.10.201.1服务器并且目的端口为80的TCP流量
rule 10 deny tcp source 192.168.201.5 0 destination 10.10.201.1 0 destination-port eq 80
rule 9999 permit ip
#
interface GigabitEthernet0/0/1
traffic-filter inbound acl 3001#将ACL应用到GE0/0/1口in方向
#
完成上述配置后,PC1能够访问Server(所有服务),Client1能够ping通Server,但是无法访问Server的HTTP服务。
<AR1>dis acl all
