在ensp中ACL路由控制实验

一、实验目的

掌握ACL路由控制管理

二、实验要求

要求：

配置路由策略，左右两边不公开区域对方不可达，其他区域可以互相ping通

设备：

1、三台路由器

2、四台交换机

3、四台电脑

4、四台服务器

使用ensp搭建实验环境,如图所示

三、实验内容

1、PC端配置

PC1

PC2

PC3

PC4

2、服务器设置

Server1

Server2

Server3

Server4

3、路由器基础配置

AR1

sys

undo info en

sys AR1

int g 0/0/0

ip add 192.168.100.254 24

int g 0/0/1

ip add 192.168.1.254 24

int g 0/0/2

ip add 10.1.12.1 30

AR2

sys

undo info en

sys AR2

int g 0/0/0

ip add 192.168.200.254 24

int g 0/0/1

ip add 192.168.2.254 24

int g 0/0/2

ip add 20.1.23.2 30

AR3

sys

undo info en

sys AR3

int g 0/0/0

ip add 10.1.12.2 30

int g 0/0/1

ip add 20.1.23.1 30

4、路由器配置RIP和SPF

AR1

rip 1

version 2

network 192.168.100.0

network 192.168.1.0

network 10.0.0.0

AR2

ospf 1

area 0

network 20.1.23.0 0.0.0.3

network 192.168.2.0 0.0.0.255

network 192.168.200.0 0.0.0.255

AR3

ospf 1

area 0

network 20.1.23.0 0.0.0.3

rip 1

version 2

network 10.0.0.0

导入：

import-route ospf 1

import-route rip 1

5、配置traffic-filter 流量过滤使左右两边不公开区域对对方不可达

在AR1的g 0/0/2端口配置traffic-filter inbound控制右边的PC不能到达左边的不公开区域

AR1

acl 3001  

#拒绝192.168.200.0这个网段

rule deny ip source 192.168.200.0 0.0.0.255 destination 192.168.100.0 0.0.0.255

rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.100.0 0.0.0.255

int g 0/0/2

traffic-filter inbound acl 3001

在AR2的g 0/0/2端口配置traffic-filter inbound控制左边的PC不能到达右边的不公开区域

AR2

acl 3001  

rule deny ip source 192.168.100.0 0.0.0.255 destination 192.168.200.0 0.0.0.255

rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.200.0 0.0.0.255

int g 0/0/2

traffic-filter inbound acl 3001

四、测试

192.168.1.86à192.168.200.22（右边非公开区域）  结果：不可达

192.168.100.11à192.168.200.22（右边非公开区域）  结果：不可达

抓取AR2的0/0/0端口的流量包，流量已经在0/0/2端口被阻挡

192.168.1.86à192.168.2.33（右边公开区域）  结果：可以访问

192.168.100.11（左边非公开区域）à192.168.2.33（右边公开区域）  结果应该成功，显示请求超时的原因：192.168.2.33应答的流量包被AR1的0/0/2端口阻挡，流量到达不了左边非公开区域

抓取AR1的0/0/2端口的流量包，有192.168.2.33的应答

抓取AR1的0/0/0端口的流量包，没有192.168.2.33的应答