项目需求
需求:
1、禁止内网192.168.1.0/24网段访问公网200.1.1.2
2、禁止内网192.168.1.0/24网段访问ftp服务器172.16.1.1
3、禁止内网192.168.2.0/24网段访问web服务器172.16.1.2
4、默认都允许访问,比如192.168.1.0/24网段可以访问web服务器172.16.1.2;192.168.2.0/24网段访问ftp服务器172.16.1.1
网络拓扑图
配置
需求:
1、禁止内网192.168.1.0/24网段访问公网200.1.1.2
2、禁止内网192.168.1.0/24网段访问ftp服务器172.16.1.1
3、禁止内网192.168.2.0/24网段访问web服务器172.16.1.2
4、默认都允许访问,比如192.168.1.0/24网段可以访问web服务器172.16.1.2;192.168.2.0/24网段访问ftp服务器172.16.1.1
路由器R1的配置:
acl number 2000
rule 5 deny source 192.168.1.0 0.0.0.255
acl number 3000
rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.1.1 0 destinati
on-port range ftp-data ftp
rule 6 deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.1.2 0 destinati
on-port eq www
rule 10 permit ip
interface GigabitEthernet0/0/0
ip address 200.1.1.1 255.255.255.0
traffic-filter outbound acl 2000
interface GigabitEthernet0/0/1
ip address 192.168.1.254 255.255.255.0
ip address 192.168.2.254 255.255.255.0 sub
interface GigabitEthernet0/0/2
ip address 172.16.1.254 255.255.255.0
traffic-filter outbound acl 3000
interface NULL0
路由器R2的配置:
sysname R2
interface GigabitEthernet0/0/0
ip address 200.1.1.2 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 200.1.1.1
注意事项
1、保证全网络能通;
2、先测试内网都能访问FTP服务器和WEB服务器后,才做ACL控制。