在企业中OSPF和ACL应用特别广泛,本实验介绍OSPF和ACL具体配置过程
实验拓扑:
实验要求:
1.企业内网运行OSPF路由协议,区域规划如图所示;
2.财务和研发所在的区域不受其他区域链路不稳定性影响;
3.R1、R2、R3只允许被IT登录管理;
4.YF和CW之间不能互通,但都可以与IT互通;
5.IT和YF可以访问Client1,但CW不能访问Client1;
6.YF和CW只能访问Server1的WWW服务;
实验要求分析:
财务部(CW)
1.YF和CW之间不能互通,但都可以与IT互通;
2.CW不能访问Client1;
3.CW只能访问Server1的WWW服务;
研发部(YF)
1.YF和CW之间不能互通,但都可以与IT互通;
3.YF只能访问Server1的WWW服务;
IT部(IT)
1.R1、R2、R3只允许被IT登录管理;
2.IT可以访问Client1;
实验步骤:
1.按照拓扑图进行IP地址基本配置,
2.配置OSPF
在路由器R1,R2,R3及IT上设置相应的域,(router-id设不设随意
stub no-summary命令设置边缘区域 节省带宽,只接收域内路由)
3.配置ACL,满足企业需求;
财务部ACL设置:
在R3上设置2000的规则配置easy-ip,使IT部可以访问出去在vty的入口进行实现,设置密码登录
再设置一个财务部的acl
设置禁止财务部(网段192.168.30.0/24)访问Client1(网段1.1.1.0/24)访问研发部(网段192.168.20.0/24)
禁止财务部ping服务器(IP192.168.40.1/24)允许财务部访问服务器中www服务器,我们在0/1接口入口实现规则
研发部ACL设置:
在R2设置2000的规则,设置easy-ip,使IT部可以访问出去在vty的入口进行实现设置密码登录,
再设置一个研发部的acl
禁止研发部(网段192.168.20.0/24)访问财务部(192.168.30.0/24)ping服务器(IP192.168.40.1/24)
只允许研发部访问服务器中www服务器,我们在0/2接口入口实现规则
IT部ACL设置:
在R2设置2000的规则,设置easy-ip,使IT部可以访问出去在vty的入口进行实现设置密码登录
再设置一个3000的高级acl
允许Client1访问服务器中www服务器,禁止Client1ping服务器(IP192.168.40.1/24)我们在0/1接口入口实现规则
4.验证配置:
财务可以访问server1服务器的web服务
但无法ping通server1服务器
研发可以访问server1的web服务
但无法ping通server1服务器
R1、R2、R3只允许被IT登录管理
R1不可以登陆R2:
别忘了save命令保存配置
