组网要求:
1. 完成拓扑中各设备的基础配置,使得全网互通;
2. 在上一个需求的基础上,在路由器上部署高级ACL,使得Client2无法访问Server的HTTP服务,但是Client2依然能够访问Server的其他服务,及其他节点。其他流量不做限制。
一、eNSP实际操作视频:
视频加载中…
二、主要知识点:
ACL介绍
ACL是Access Control List的简称,中文是访问控制列表。ACL包含了一系列条件语句,实际上是一系列包含“允许”或者“拒绝”的规则。换句话说,ACL是人为定义的一组或者几组规则,以便设备判断是否执行用户规定的动作。
目的
网络中的设备相互通信时,需要保障网络传输的安全可靠和性能稳定。例如:
· 防止对网络的攻击,例如防止针对IP报文、TCP报文、ICMP报文的攻击。
· 对网络访问行为进行控制,例如企业网中内、外网的通信,用户访问特定网络资源的控制,特定时间段内允许对网络的访问。
· 限制网络流量和提高网络性能,例如限定网络上行、下行流量的带宽,对用户申请的带宽进行收费,保证高带宽网络资源的充分利用。
ACL的出现,有效地解决了上述问题,切实保障了网络传输的稳定性和可靠性。
受益
ACL通过规则对报文进行分类,这些规则应用到路由设备上,路由设备根据这些规则判断哪些报文可以接收,哪些报文需要拒绝,从而极大地提升了网络的安全性。
ACL分类
根据ACL对IPv4和IPv6协议的支持情况,可以分为ACL4和ACL6。
按照功能对ACL4进行分类,如下表所示。
三、IP设置:
Client1:192.168.1.1/24,vlan10
Client2:192.168.1.2/24,vlan20
Router:192.168.1.254/24,10.1.1.254/24
Server1:10.1.1.1/24
四、配置步骤:
Client1、Client2使用eNSP中的Client模拟,完成IP地址和网关的配置;
Server使用eNSP中的Server模拟,完成IP地址和网关的配置,并且开启HTTP服务。
路由器的基础配置如下:
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] ip address 192.168.1.254 24
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 10.1.1.254 24
完成上述配置后,全网即可实现互通。接下来在Router上部署ACL:
[Router] acl 3000
[Router-acl-adv-3000] rule deny tcp source 192.168.1.2 0 destination 10.1.1.1 0 destination-port eq 80
#禁止源为192.168.1.2、目的为10.1.1.1,并且目的端口为80的
TCP流量
[Router-acl-adv-3000] rule permit ip
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] traffic-filter inbound acl 3000
完成上述配置后,Client1能够访问Server(所有服务),Client2能够ping通Server,但是无法访问Server的HTTP服务。
五、扩展内容:
eNSP能够模拟FTP、HTTP、DNS的Server及Client,因此本实验中涉及到的HTTP服务部分,可以使用eNSP的相关模拟设备来模拟:
譬如要模拟HTTP Server,则拖选Server图标到画布,双击打开配置界面填写IP地址、网关地址等信息,完成这些基础配置后,切换到“服务器信息”选项卡:
选择左侧的HTTPServer,然后在电脑上找一个文件夹作为HTTP的目录,在上图所示的界面中“文件根目录”这里进行选择(例如上图中的E:\Test,这是电脑上的一个目录,目录里可以放置一个HTML文件)。完成配置后点击“启动”按钮即可。
客户端的配置也很简单,拖选一个Client到画布,然后双击Client,填写客户端IP地址、网关地址等信息,然后切换到“客户端信息”这个选项卡,选择HttpClient,然后输入WEB服务器的地址,点击获取即可:
如果访问成功,会弹出如下界面:
本实验是通过华为模拟器eNSP1.3.00.100版(最新版)完成。该软件还包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的设备IOS,可完成复杂网络测试,需要该模拟器的朋友,可以转发此文关注小编,私信小编【666】即可获得。