Packer tarcer——ACL、DNS、Web、路由

网络拓扑图及要求

Packer tarcer——ACL、DNS、Web、路由
要求:

配置ACL进制192.168.3.0/24网络的icmp协议数据包通向与192.168.1.0/24网段
配置ACL进制特点的协议端口通讯
·禁止192.168.2.1访问web
·禁止192.168.2.2访问DNS

配置

PC、域名服务器(DNS)、服务器(Web)

先按照拓扑图配置好PC机和路由器
Server0->域名服务器配置:
Packer tarcer——ACL、DNS、Web、路由
Packer tarcer——ACL、DNS、Web、路由
这边地址和名称设定为192.168.1.10和www.test.com
Server1->服务器配置:
Packer tarcer——ACL、DNS、Web、路由
需要去确认一下HTTP是否打开。(在Services->HTTP里)
DNS Server是Server0的IP地址。
如果PC0的DNS Server设定为Server0的IP地址,在路由器配置完后即可在PC0的浏览器里访问https://www.test.com,这个后面再看

路由

这边设定为RIP路由:
Router0:
Packer tarcer——ACL、DNS、Web、路由
Router1:
Packer tarcer——ACL、DNS、Web、路由
Router2:
Packer tarcer——ACL、DNS、Web、路由
如果在PC0、PC1上加上DNS Server,如下:
Packer tarcer——ACL、DNS、Web、路由
现在ping一下进行检测:
用PC0ping:
Packer tarcer——ACL、DNS、Web、路由
浏览器访问网址:
Packer tarcer——ACL、DNS、Web、路由
PC1同理,不演示了
以上是基本设置,而实现禁止访问的部分主要靠ACL,可跳过ACL的介绍直接看实现的部分

ACL实现访问控制列表

ACL

ACL——Access Control List:访问控制列表

用途:

  • 限制网络流量、提高网络性能
  • 提供对通信流量的控制手段
  • 提供网络访问的基本安全手段
  • 在路由器(交换机)接口处,决定那种类型的通信流量被转发、那种被阻塞

配置方法:

标准ACL

创建ACL:
Router(config)# access-list access-list-number {permit|deny} source-ip source-wildcard [log]
注意:

  1. access-list-number的取值范围从1到99
  2. no access-list access-list-number 命令删除指定号码的ACL
  3. source-wildcard为反掩码

将ACL绑定到指定接口:
Router(config)#
ip access-group acces-list-number {in|out}
关于in和out的判断可以看这个文章,ACL访问控制列表应用时in和out的区别 ,关键还是要看具体情况,不能看接口是什么就定义什么
注意:

  1. no ip access-group acces-list-number 命令在特定接口禁用ACL
扩展ACL

Router(config)#
access-list access-list-number {permit|deny} protocol source-ip source-wildcark [operator port] destination-ip destination-wildcard [operator port] [established] [log]
注意:

  1. access-list-number取值100到199

例:
access-list 101 permit tcp 192.168.2.0 0.0.0.255 gt 1023 host 192.168.1.2 eq 80
——允许192.168.2.0网段的主机访问主机192.168.1.2的web服务
access-list 101 permit udp 192.168.2.0 0.0.0.255 gt 1023 any eq 53
——允许192.168.2.0网段的主机访问外网以做dns查询。其中gt 2013表示所有大于1023的端口,因为一般访问web、ftp等服务器时客户端的主机是使用一个1023以上的随机端口

实现

复制一遍要求:

配置ACL进制192.168.3.0/24网络的icmp协议数据包通向与192.168.1.0/24网段
配置ACL进制特点的协议端口通讯
·禁止192.168.2.1访问web
·禁止192.168.2.2访问DNS

先实现第一个要求:
在Router0上输入命令如下:
Packer tarcer——ACL、DNS、Web、路由
现在再来ping一下。
用PC3分别来ping192.168.1.1和192.168.2.1,可以看到结果是有区别的,其中ping192.168.1.1没有ping通
Packer tarcer——ACL、DNS、Web、路由
实现第二个要求:
点击Router2,命令如下:
Packer tarcer——ACL、DNS、Web、路由
其中80也可以写成www
也就是192.168.2.1禁止访问192.168.1.0网段的web服务器;192.168.2.2禁止访问192.168.1.0网段的dns
关于此处in和out的解释如下:
之所以设置成out,是希望PC0(192.168.2.1)和PC1(192.168.2.2)发送的数据包到达f0/0接口时,就被访问控制组织了,所以无法访问web、dns
之所以不设置成in,是因为,PC0、PC1发出的数据包能通过f0/0,但返回的时候,数据包的源地址是web、dns的IP地址,目的地址是PC0、PC1的IP地址,而f0/0的ACL阻止的源地址是PC0、PC1的IP地址,目的地址是web、dns的IP地址,这个匹配起来不一样,所以数据包依旧可以通过fa0/0到达PC0、PC1

查验一下结果:
PC0(192.168.2.1)无法访问webPacker tarcer——ACL、DNS、Web、路由
Packer tarcer——ACL、DNS、Web、路由
PC1(192.168.2.2)无法访问dns:
Packer tarcer——ACL、DNS、Web、路由
但PC1只是不能访问域名服务器,它可以通过输入IP地址的方式在浏览器中访问:
Packer tarcer——ACL、DNS、Web、路由