組網(wǎng)要求：

1. 完成拓?fù)渲懈髟O(shè)備的基礎(chǔ)配置，使得全網(wǎng)互通；

2. 在上一個需求的基礎(chǔ)上，在路由器上部署高級ACL，使得Client2無法訪問Server的HTTP服務(wù)，但是Client2依然能夠訪問Server的其他服務(wù)，及其他節(jié)點。其他流量不做限制。

一、eNSP實際操作視頻：

二、主要知識點：

ACL介紹

ACL是Access Control List的簡稱，中文是訪問控制列表。ACL包含了一系列條件語句，實際上是一系列包含“允許”或者“拒絕”的規(guī)則。換句話說，ACL是人為定義的一組或者幾組規(guī)則，以便設(shè)備判斷是否執(zhí)行用戶規(guī)定的動作。

目的

網(wǎng)絡(luò)中的設(shè)備相互通信時，需要保障網(wǎng)絡(luò)傳輸?shù)陌踩煽亢托阅芊€(wěn)定。例如：

· 防止對網(wǎng)絡(luò)的攻擊，例如防止針對IP報文、TCP報文、ICMP報文的攻擊。

· 對網(wǎng)絡(luò)訪問行為進(jìn)行控制，例如企業(yè)網(wǎng)中內(nèi)、外網(wǎng)的通信，用戶訪問特定網(wǎng)絡(luò)資源的控制，特定時間段內(nèi)允許對網(wǎng)絡(luò)的訪問。

· 限制網(wǎng)絡(luò)流量和提高網(wǎng)絡(luò)性能，例如限定網(wǎng)絡(luò)上行、下行流量的帶寬，對用戶申請的帶寬進(jìn)行收費，保證高帶寬網(wǎng)絡(luò)資源的充分利用。

ACL的出現(xiàn)，有效地解決了上述問題，切實保障了網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定性和可靠性。

受益

ACL通過規(guī)則對報文進(jìn)行分類，這些規(guī)則應(yīng)用到路由設(shè)備上，路由設(shè)備根據(jù)這些規(guī)則判斷哪些報文可以接收，哪些報文需要拒絕，從而極大地提升了網(wǎng)絡(luò)的安全性。

ACL分類

根據(jù)ACL對IPv4和IPv6協(xié)議的支持情況，可以分為ACL4和ACL6。

按照功能對ACL4進(jìn)行分類，如下表所示。

三、IP設(shè)置：

Client1:192.168.1.1/24,vlan10

Client2:192.168.1.2/24,vlan20

Router:192.168.1.254/24,10.1.1.254/24

Server1:10.1.1.1/24

四、配置步驟：

Client1、Client2使用eNSP中的Client模擬，完成IP地址和網(wǎng)關(guān)的配置；

Server使用eNSP中的Server模擬，完成IP地址和網(wǎng)關(guān)的配置，并且開啟HTTP服務(wù)。

路由器的基礎(chǔ)配置如下：

[Router] interface GigabitEthernet 0/0/0

[Router-GigabitEthernet0/0/0] ip address 192.168.1.254 24

[Router] interface GigabitEthernet 0/0/1

[Router-GigabitEthernet0/0/1] ip address 10.1.1.254 24

完成上述配置后，全網(wǎng)即可實現(xiàn)互通。接下來在Router上部署ACL：

[Router] acl 3000

[Router-acl-adv-3000] rule deny tcp source 192.168.1.2 0 destination 10.1.1.1 0 destination-port eq 80

#禁止源為192.168.1.2、目的為10.1.1.1,并且目的端口為80的

TCP流量

[Router-acl-adv-3000] rule permit ip

[Router] interface GigabitEthernet 0/0/0

[Router-GigabitEthernet0/0/0] traffic-filter inbound acl 3000

完成上述配置后，Client1能夠訪問Server（所有服務(wù)），Client2能夠ping通Server，但是無法訪問Server的HTTP服務(wù)。

五、擴展內(nèi)容：

eNSP能夠模擬FTP、HTTP、DNS的Server及Client，因此本實驗中涉及到的HTTP服務(wù)部分，可以使用eNSP的相關(guān)模擬設(shè)備來模擬：

譬如要模擬HTTP Server，則拖選Server圖標(biāo)到畫布，雙擊打開配置界面填寫IP地址、網(wǎng)關(guān)地址等信息，完成這些基礎(chǔ)配置后，切換到“服務(wù)器信息”選項卡：

選擇左側(cè)的HTTPServer，然后在電腦上找一個文件夾作為HTTP的目錄，在上圖所示的界面中“文件根目錄”這里進(jìn)行選擇（例如上圖中的E:\Test，這是電腦上的一個目錄，目錄里可以放置一個HTML文件）。完成配置后點擊“啟動”按鈕即可。

客戶端的配置也很簡單，拖選一個Client到畫布，然后雙擊Client，填寫客戶端IP地址、網(wǎng)關(guān)地址等信息，然后切換到“客戶端信息”這個選項卡，選擇HttpClient，然后輸入WEB服務(wù)器的地址，點擊獲取即可：

如果訪問成功，會彈出如下界面：

本實驗是通過華為模擬器eNSP1.3.00.100版（最新版）完成。該軟件還包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的設(shè)備IOS，可完成復(fù)雜網(wǎng)絡(luò)測試，需要該模擬器的朋友，可以轉(zhuǎn)發(fā)此文關(guān)注小編，私信小編【666】即可獲得。