实验拓扑
实验需求
- 按照图示配置 IP 地址
- 全网路由互通
- 在 SERVER1 上配置开启 TELNET 和 FTP 服务
- 配置 ACL 实现如下效果
192.168.1.0/24网段不允许访问 192.168.2.0/24 网段,要求使用基本 ACL 实现
PC1 可以访问 SERVER1 的 TELNET 服务,但不能访问 FTP 服务
PC2 可以访问 SERVER1 的 FTP 服务,但不能访问 TELNET 服务
192.168.2.0/24 网段不允许访问 SERVER1,要求通过高级 ACL 实现
实验解法
一、配置IP地址
因为拓扑中使用路由器做PC,网关的作用和默认路由一样,所以在PC1和PC2上需要配置默认路由
[PC1]int g0/0
[PC1-GigabitEthernet0/0]ip add 192.168.1.1 24
[PC1-GigabitEthernet0/0]quit
[PC1]ip route-static 0.0.0.0 0 192.168.1.254
[PC2]int g0/0
[PC2-GigabitEthernet0/0]ip add 192.168.1.2 24
[PC2-GigabitEthernet0/0]quit
[PC2]ip route-static 0.0.0.0 0 192.168.1.254
[server1]int g0/0
[server1-GigabitEthernet0/0]ip add 192.168.3.1 24
[server1-GigabitEthernet0/0]quit
[server1]ip route-static 0.0.0.0 0 192.168.3.3
[R1]int g0/1
[R1-GigabitEthernet0/1]ip add 192.168.1.254 24
[R1-GigabitEthernet0/1]int g0/0
[R1-GigabitEthernet0/0]ip add 100.1.1.1 24
[R1-GigabitEthernet0/0]quit
[R2]int g0/0
[R2-GigabitEthernet0/0]ip add 100.1.1.2 24
[R2-GigabitEthernet0/0]int g0/2
[R2-GigabitEthernet0/2]ip add 192.168.2.2 24
[R2-GigabitEthernet0/2]int g0/1
[R2-GigabitEthernet0/1]ip add 100.2.2.2 24
[R2-GigabitEthernet0/1]quit
[R3]int g0/1
[R3-GigabitEthernet0/1]ip add 192.168.3.3 24
[R3-GigabitEthernet0/1]int g0/0
[R3-GigabitEthernet0/0]ip add 100.2.2.3 24
[R3-GigabitEthernet0/0]quit
二、配置OSPF使全网互通
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255[R1-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]quit
[R1-ospf-1]quit
[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 100.2.2.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]quit
[R2-ospf-1]quit
[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 100.2.2.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]quit
[R3-ospf-1]quit
用PC1 ping server1 能通
三、在server1上配置开启Telnet和FTP服务
[server1]ftp server enable
[server1]telnet server enable
[server1]local-user wangdaye class manage
[server1-luser-manage-wangdaye]password simple admin12345
[server1-luser-manage-wangdaye]authorization-attribute user-role level-15
[server1-luser-manage-wangdaye]service-type ftp
[server1-luser-manage-wangdaye]service-type telnet
[server1-luser-manage-wangdaye]quit
[server1]user-interface vty 0 4
[server1-line-vty0-4]authentication-mode scheme
[server1-line-vty0-4]quit
在PC1上使用FTP,在PC2上使用Telnet来验证
四、配置ACL
步骤一:192.168.1.0/24网段不允许访问 192.168.2.0/24 网段,要求使用基本 ACL 实现。
因为基本ACL并不是很灵活,需要配置在离目的地址较近的设备上
[R2]acl basic 2000
[R2-acl-ipv4-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[R2-acl-ipv4-basic-2000]quit
[R2]int g0/2
[R2-GigabitEthernet0/2]packet-filter 2000 outbound
[R2-GigabitEthernet0/2]quit
步骤二:创建高级 ACL,使 PC1 可以访问 SERVER1 的 TELNET 服务,但不能访问 FTP 服务;PC2 可以访问 SERVER1 的 FTP 服务,但不能访问 TELNET 服务,并在 R1 的 g0/1 接口的入方向配置包过滤
[R1]acl advanced 3000
[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port range 20 21[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.3.1 0 destination-port eq 23
[R1-acl-ipv4-adv-3000]quit[R1]int g0/1
[R1-GigabitEthernet0/1]packet-filter 3000 inbound
[R1-GigabitEthernet0/1]quit
因为在上题中登录过,可以证明配置无误。现在不能访问,证明完成对应需求
步骤三:192.168.2.0/24 网段不允许访问 SERVER1,要求通过高级 ACL 实现
[R2]acl advanced 3000
[R2-acl-ipv4-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.1 0
[R2-acl-ipv4-adv-3000]quit
[R2]int g0/2
[R2-GigabitEthernet0/2]packet-filter 3000 inbound
[R2-GigabitEthernet0/2]quit
