一、實驗拓撲及描述

二、實驗需求

1、完成拓撲中各設備的基礎配置，使得全網互通；

2、在上一個需求的基礎上，在路由器上部署高級ACL，使得Client1無法訪問Server的HTTP服務，但是PC1依然能夠訪問服務器及其他節點；其他流量不做限制。

三、實現步驟及配置

PC1、Client1使用eNSP中的Client模擬，完成IP地址和網關的配置； Server使用eNSP中的Server模擬，完成IP地址和網關的配置，并且開啟HTTP服務。

路由器的基礎配置如下：

#

?sysname AR1

#

interface GigabitEthernet0/0/0

?description to Server1_IP

?ip address 10.10.201.254 255.255.255.0

#

interface GigabitEthernet0/0/1

?description to PC_IP

?ip address 192.168.201.254 255.255.255.0

#

未配置ACL之前，PC1/Client1都能訪問server：

#完成上述配置后，全網即可實現互通。接下來在Router上部署ACL：

acl number 3001?

#禁止源為192.168.201.5、目的為10.10.201.1服務器并且目的端口為80的TCP流量

?rule 10 deny tcp source 192.168.201.5 0 destination 10.10.201.1 0 destination-port eq 80

?rule 9999 permit ip

#

interface GigabitEthernet0/0/1

?traffic-filter inbound acl 3001#將ACL應用到GE0/0/1口in方向

#

完成上述配置后，PC1能夠訪問Server（所有服務），Client1能夠ping通Server，但是無法訪問Server的HTTP服務。

<AR1>dis acl all