一、实验目的
掌握ACL路由控制管理
二、实验要求
要求:
配置路由策略,左右两边不公开区域对方不可达,其他区域可以互相ping通
设备:
1、三台路由器
2、四台交换机
3、四台电脑
4、四台服务器
使用ensp搭建实验环境,如图所示
三、实验内容
1、PC端配置
PC1
PC2
PC3
PC4
2、服务器设置
Server1
Server2
Server3
Server4
3、路由器基础配置
AR1
sys
undo info en
sys AR1
int g 0/0/0
ip add 192.168.100.254 24
int g 0/0/1
ip add 192.168.1.254 24
int g 0/0/2
ip add 10.1.12.1 30
AR2
sys
undo info en
sys AR2
int g 0/0/0
ip add 192.168.200.254 24
int g 0/0/1
ip add 192.168.2.254 24
int g 0/0/2
ip add 20.1.23.2 30
AR3
sys
undo info en
sys AR3
int g 0/0/0
ip add 10.1.12.2 30
int g 0/0/1
ip add 20.1.23.1 30
4、路由器配置RIP和SPF
AR1
rip 1
version 2
network 192.168.100.0
network 192.168.1.0
network 10.0.0.0
AR2
ospf 1
area 0
network 20.1.23.0 0.0.0.3
network 192.168.2.0 0.0.0.255
network 192.168.200.0 0.0.0.255
AR3
ospf 1
area 0
network 20.1.23.0 0.0.0.3
rip 1
version 2
network 10.0.0.0
导入:
import-route ospf 1
import-route rip 1
5、配置traffic-filter 流量过滤使左右两边不公开区域对对方不可达
在AR1的g 0/0/2端口配置traffic-filter inbound控制右边的PC不能到达左边的不公开区域
AR1
acl 3001
#拒绝192.168.200.0这个网段
rule deny ip source 192.168.200.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
int g 0/0/2
traffic-filter inbound acl 3001
在AR2的g 0/0/2端口配置traffic-filter inbound控制左边的PC不能到达右边的不公开区域
AR2
acl 3001
rule deny ip source 192.168.100.0 0.0.0.255 destination 192.168.200.0 0.0.0.255
rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.200.0 0.0.0.255
int g 0/0/2
traffic-filter inbound acl 3001
四、测试
192.168.1.86à192.168.200.22(右边非公开区域) 结果:不可达
192.168.100.11à192.168.200.22(右边非公开区域) 结果:不可达
抓取AR2的0/0/0端口的流量包,流量已经在0/0/2端口被阻挡
192.168.1.86à192.168.2.33(右边公开区域) 结果:可以访问
192.168.100.11(左边非公开区域)à192.168.2.33(右边公开区域) 结果应该成功,显示请求超时的原因:192.168.2.33应答的流量包被AR1的0/0/2端口阻挡,流量到达不了左边非公开区域
抓取AR1的0/0/2端口的流量包,有192.168.2.33的应答
抓取AR1的0/0/0端口的流量包,没有192.168.2.33的应答
