实现环境
A公司内部网络已经建成,网络 拓扑如下图所示。要求VLAN10中所有主机都可以在工作时间(周一到周五的每天8:30至17:30)访问服务器的WEB(80)服务,但拒绝其他服 务。只允许主机PC1可以PING服务器,禁止其它所有主机PING服务器。为SW1添加用户名和密码,用户名:benet,密码test,要求只有主机 PC1可以登录。
实验使用下图所示的网络拓扑图。
使用Dynamips搭建网络环境,路由器R1模拟主机PC1,路由器R2模拟服务器,主机PC10使用本机。
需求描述
VLAN 10中主机在周一到周五每天8:30到17:30可以访问服务器的Web服务,但拒绝其它服务
只允许VLAN1中主机可以ping服务器,其他主机不能
SW1用户名:benet,密码:test,只允许PC1登录
Router1 F0/0 <----> Switch1 F0/1
Router2 F0/0 <----> Switch1 F0/15
Router3 F0/0 <----> Switch1 F0/10
Router3模拟PC10
具体配置
PC10上的配置
Router>en 进入特权模式
Router#conf t 进入全局模式
Router(config)#ho pc10 更改设备名称
pc10(config)#no ip do lo 关闭域名解析
pc10(config)#lin 0 进入控制台
pc10(config-line)#no exec-t 关闭超时
pc10(config-line)#logg s 关闭日志同步
pc10(config-line)#int f0/0 进入F0/0接口
pc10(config-if)#ip add 192.168.10.1 255.255.255.0 配置IP和掩码
pc10(config-if)#no shut 开启接口
pc10(config-if)#exit 退回特权模式
pc10(config)#no ip routing 关闭路由功能
pc10(config)#ip default-gateway 192.168.10.254 配置默认网关
pc10(config)#end 返回特权模式
R1上的配置
Router>en 进入特权模式
Router#conf t 进入全局模式
Router(config)#ho r1 更改设备名称
r1(config)#no ip do lo 关闭域名解析
r1(config)#lin 0 进入控制台
r1(config-line)#no exec-t 关闭超时
r1(config-line)#logg s 关闭日志同步
r1(config-line)#int f0/0 进入F0/0接口
r1(config-if)#ip add 192.168.1.1 255.255.255.0 配置IP和掩码
r1(config-if)#no shut 开启接口
r1(config-if)#exit 退回全局模式
r1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254 配置默认路由
r1(config)#end 返回特权模式
R2上的配置
Router>en 进入特权模式
Router#conf t 进入全局模式
Router(config)#ho r2 更改设备名称
r2(config)#no ip do lo 关闭域名解析
r2(config)#lin 0 进入控制台
r2(config-line)#no exec-t 关闭超时
r2(config-line)#logg s 关闭日志同步
r2(config-line)#int f0/0 进入F0/0接口
r2(config-if)#ip add 192.168.20.1 255.255.255.0 配置IP和掩码
r2(config-if)#no shut 开启接口
r2(config-if)#exit 退回全局模式
r2(config)#ip route 0.0.0.0 0.0.0.0 192.168.20.254 配置默认路由
r2(config)#
SW1上的配置
Router>en 进入特权模式
Router#conf t 进入全局模式
Router(config)#ho sw1 更改设备名称
sw1(config)#no ip do lo 关闭域名解析
sw1(config)#lin 0 进入控制台
sw1(config-line)#no exec-t 关闭超时
sw1(config-line)#logg s 关闭日志同步
sw1(config-line)#end 返回特权模式
sw1#vlan da 进入VLAN配置模式
sw1(vlan)#vlan 10 添加VLAN10
VLAN 10 added:
Name: VLAN0010
sw1(vlan)#vlan 20 添加VLAN20
VLAN 20 added:
Name: VLAN0020
sw1(vlan)#exit 保存并退出
APPLY completed.
Exiting....
sw1#conf t 进入全局模式
sw1(config)#int f0/1 进入F0/1接口
sw1(config-if)#no switchport 开启三层接口
sw1(config-if)#ip add 192.168.1.254 255.255.255.0 配置IP和掩码
sw1(config-if)#no shut 开启接口
sw1(config-if)#int f0/10 进入F0/10接口
sw1(config-if)#sw mode acc 配置成接入链路
sw1(config-if)#sw acc vlan 10 加入VLAN10
sw1(config-if)#int vlan 10 进入VLAN10
sw1(config-if)#ip add 192.168.10.254 255.255.255.0 配置IP和掩码t
sw1(config-if)#int f0/15 进入F0/15接口
sw1(config-if)#sw mode acc 配置成接入链路
sw1(config-if)#sw acc vlan 20 加入VLAN20
sw1(config-if)#int vlan 20 进入VLAN20
sw1(config-if)#ip add 192.168.20.254 255.255.255.0 配置IP和掩码
sw1(config-if)#exit 退回全局模式
sw1(config)#access-list 100 per ip 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.255 配置ACL
sw1(config)#int vlan 20 进入VLAN20
sw1(config-if)#ip access-group 100 out 在出方向应用ACL
sw1(config-if)#exit 退回全局模式
sw1(config)#time-range mytime 配置时间访问控制列表
sw1(config-time-range)#periodic weekdays weekdays 配置成工作日
sw1(config-time-range)#periodic weekdays 8:30 to 17:30 配置工作日时间
sw1(config-time-range)#exit 退回特权模式
sw1(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 80 time-range mytime 配置ACL并调用时间
sw1(config)#int vlan 10 进入VLAN10
sw1(config-if)#ip access-group 101 in 在进方向上应用ACL
sw1(config-if)#exit 退回全局模式
sw1(config)#access-list 1 per 192.168.1.0 0.0.0.255 配置ACL1
sw1(config)#username benet password test 配置本地用户名和密码
sw1(config)#line vty 0 4 进入VTY线路
sw1(config-line)#login local 在本地进行身份验证
sw1(config-line)#access-class 1 in 在进方向上应用访问控制列表
sw1(config-line)#exit 退回全局模式
测试
r1#ping 192.168.20.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/83/132 ms
r1#telnet 192.168.1.254
Trying 192.168.1.254 ... Open
User Access Verification
Username: benet
Password:
sw1>exit
[Connection to 192.168.1.254 closed by foreign host]
r1#
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。