综合练习2 设置访问权限,Easy-IP访问外网,内外网访问
实验拓扑图:
实验要求:
1.pc、路由、交换基本配置,vlan间路由互通。
2.vlan20、vlan30可以访问FTP,VLAN10不允许访问FTP。
3.AR1通过easy-ip方式实现私网地址访问外网。
4.只允许client1可以访问WEB-SERVER的80端口,其它client不能访问,放行其它的访问流量。
5.在内网搭建FTP并允许外网用户clent3访问。
实验步骤:
配置S1的5个接口
因为AR1连接4个不同的vlan,所以设置单臂路由:
将G0/0/0接口分为0/0/0.1, 0/0/0.2 ,0/0/0.3 ,0/0/0.4 ,
如下图所示:
AR2的g0/0/0接口IP设置为12.1.1.2/24 g0/0/1接口IP设置为200.10.10.254/24
使用client1去ping12.1.1.1来检测其连通性,发现连通性配置完成
Vlan之间ping(使用client1 ping client2的192.168.2.100的地址)
也能ping通
2.vlan20、vlan30可以访问FTP,VLAN10不允许访问FTP。
在AR1上设置添加ACL高级设置(ACL 3000-3999)
根据rule 5 permit tcp source 192.168.2.100 0.0.0.255 destination 192.168.4.100 0.0.0.255 destination-port eq 21
命令设置规则 命令含义:规则 5(规则号可以自己更改)permit (允许)tcp(协议)source (源IP)192.168.2.100 0.0.0.255(反向掩码)destination (目的IP)192.168.4.100 0.0.0.255(反向掩码)destination-port eq 21(服务端口号21)
即,允许vlan20访问
同理设置vlan 30
因为ftp端口号为21(默认) ,在设置规则的时候可以自己更改,如果更改,不要忘记更改FTP服务器里面的端口号
拒绝 vlan 10 访问 FTP服务器规则:
配置报文过滤,流量匹配3000:
开启服务
选择文件根目录,然后点击“启动”
打开client 1 和 client 2 检测看是否能登陆FTP
Client 2 可以登陆成功:
Client 1属于vlan10 不可以登录进ftp
让AR1通过easy-ip方式实现私网地址访问外网
先设置ACL 2000 (普通ACL 2000-2999)
外接口设置流量匹配2000:
使用Client1 ping 外网
并使用抓包工具发现ping 外网成功。
想要设置只允许client1可以访问WEB-SERVER的80端口,其它client不能访问,放行其它的访问流量。要AR1设置ACL规则,并在接口使用traffic-filter命令对三层报文进行过滤(前提可以实现路由之间的通信搭建OSPF协议,一开始规则设好之后发现谁都不可以访问,就是因为忘了)
设置ACL 规则:
Deny tcp source any (拒绝任意网络访问)
不过为了以防万一,还是分别都设置了一下拒绝
在接口的内接口对三层报文进行过滤
发现不能设置,出错原因是因为曾经设过一次,所以可以先把它undo 一下
然后再设置
同理g0/0/0.3 、 g0/0/0接口
AR1设置OSPF
AR2设置OSPF
然后使用client 1以及client 2的ping 测试外网:
开启server1的HTTP服务:
然后使用client 1登陆Http 80 端口
使用client 2登陆测试:(不能访问)
在内网搭建FTP并允许外网用户clent3访问
因为之前设置过ACL 3000设置ftp规则 ,所以可以在AR1上重新加一条允许外网访问的规则,如下图所示:
使用外网client 3 ping FTP服务器测试:
登陆FTP服务器测试:
完成实验