原理:访问控制列表(ACL)是一种基于包过滤的网络控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用的路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全
准备:2台服务器,2台客户端,2台交换机,1台路由
先划分好网段,配置好服务器,客户端的网址,我们的实验目标是,让财务客户端能访问web,不能访问ftp,让市场可以访问ftp,不能访问web,所以,我们开启对应的服务(注意:只需开启对应服务,如ftp服务器只开启ftp端口,不要开启web端口,否则引起端口冲突谁都访问不了!!!)
之后我们配置两台交换机端口地址与回指路由(可以看我之前的实验,这里不一一打出)
之后我们开始设置路由配置,先配置好端口的ip地址,指定回执路由的路径,这里用端口0/0/0来举例
int g0/0/0
ip add 172.16.2.2 255.255.255.252
我们配置好3个端口之后配置路径
ip route-static 192.168.1.0 255.255.255.0
ip route-static 192.168.2.0 255.255.255.0
之后开始配置规则,先创建规则
acl number 3000
允许财务客户端进入web服务器,不允许它进入ftp服务器
rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.4.1 0 destination-port eq 80
rule 10 deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 destination-port eq 21
同理配置市场客户端
之后我们在0/0/0端口执行规则
traffice-filter inbound acl 3000
之后我们测试财务部连接ftp与web,发现可以进入web但无法进入ftp
同理测试市场客户端,发现能进入ftp服务器,无法进入web服务器
实验成功