ENSP模擬交換環境中呼叫高階ACL限制不同網段之間互訪
實驗環境:
網段規劃:
vlan 100:10.10.10.0 /24 閘道器 10.10.10.254 DNS:8.8.8.8
vlan 101:192.168.10.0/24 閘道器 192.168.10.254 DNS:8.8.8.8
配置Center
1、建立vlan
vlan 100
description bangong
vlan 101
description youke
2、配置trunk介面
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 101
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 to 101
3、建立虛介面並配置IP地址
interface Vlanif101
ip address 192.168.10.254 255.255.255.0
interface Vlanif100
ip address 10.10.10.254 255.255.255.0
4、配置DHCP
dhcp enable
ip pool bangong
gateway-list 10.10.10.254
network 10.10.10.0 mask 255.255.255.0
dns-list 8.8.8.8
ip pool youke
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
dns-list 8.8.8.8
interface Vlanif100
ip address 10.10.10.254 255.255.255.0
dhcp select global
interface Vlanif101
ip address 192.168.10.254 255.255.255.0
dhcp select global
配置Access1
vlan 100
description bangong
vlan 101
description youke
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 101
interface Ethernet0/0/3
port link-type access
port default vlan 100
interface Ethernet0/0/4
port link-type access
port default vlan 101
interface Ethernet0/0/5
port link-type access
port default vlan 100
配置Access2
vlan 100
description bangong
vlan 101
description youke
interface Ethernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 to 101
interface Ethernet0/0/3
port link-type access
port default vlan 100
interface Ethernet0/0/4
port link-type access
port default vlan 101
interface Ethernet0/0/5
port link-type access
port default vlan 100
將PC1 PC2 PC3 PC4ip地址設定為自動獲取,並驗證獲取到的地址
我們先互相ping一下游客和辦公網路,目前是互通的
我們在Center上定義ACL
acl number 3000
rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 10.10.10.0 0.0.0.255
traffic classifier 111
if-match acl 3000
traffic behavior 111
deny
traffic policy 111
classifier 111 behavior 111
traffic-policy 111 global inbound
我們再次互相ping遊客和辦公網路,已經不通了
同網段互相ping,可以訪問
由於我們的acl只是針對網路層做了限制,並沒有限制傳輸層,所以我們將FTP Server放入辦公網路,將FTP CLient放入遊客網路,驗證能否通
給FTP Server和FTP Client分配IP地址,並驗證能否ping通閘道器
開啟FTP Server功能
用客戶端訪問,TCP連線無法建立。說明定義ACL時,如果協議選擇IP,則四層不能通過。
但是,如果acl定義的協議為ICMP,則四層仍然能夠訪問。