实验要求:工程师必须拒绝从主机A到主机B的HTTP流量,同时允许这两台主机之间的所有其他流量可以正常通信。
实验拓扑如下:
如实验要求所示,首先实现两台主机之间的基本通信配置:
SW1的基本配置如下:
en
conf t
hostname SW1
vlan 10
exit
!
interface Ethernet0/1switchport trunk allowed vlan 10switchport trunk encapsulation dot1qswitchport mode trunk
!
interface Ethernet0/2switchport access vlan 10switchport mode access
!
endSW2的基本配置如下:
en
conf t
hostname SW2
vlan 10
exit
!
interface Ethernet0/1switchport trunk allowed vlan 10switchport trunk encapsulation dot1qswitchport mode trunk
!
interface Ethernet0/2switchport access vlan 10switchport mode access
!
endHOST-B的基本配置如下:(使用Cisco路由模拟http服务器,由于两台通信设备是在同一网段内,故省略目标路由的配置;又由于一会要测试访问其telnet,所以一并配置这项服务)
hostname HOST-B
!
enable password cisco
!
username cisco password 0 cisco
!
interface Ethernet0/0ip address 10.1.10.20 255.255.255.0no shut
!
ip http server
!
line vty 0 4login localtransport input telnet
!
HOST-B的基本配置如下:
以上测试都可正常通信,HOST-A可以ping通HOST-B;HOST-A可以访问HOST-B的WEB服务。
在SW1上执行任务要求后的配置如下:
ip access-list extended DENY-WWWpermit tcp host 10.1.10.10 host 10.1.10.20 eq www
ip access-list extended MALLpermit ip any any
!
vlan access-map A-B 10match ip address DENY-WWWaction drop
vlan access-map A-B 20match ip address MALLaction forward
!
vlan filter A-B vlan-list 10
!实施配置后再测试访问WEB服务器的结果为:
依然可以ping通WEB服务器的IP地址:
还可以telnet访问这台WEB服务器:
以上测试确实执行了禁止HTTP流量的访问并且其他服务均可正常访问的效果。
关掉vlan过滤开关再测试:
又可以访问WEB服务器提供的HTTP服务了。
再启用vlan filter开关:
所有动作都做好了,只要最后那一个vlan filter开关是最后执行动作,并且立即生效。