实验室里那个总喊“我明明能ping通,浏览器却打不开”的家伙,多半是被一条不起眼的ACL挡在HTTP门口。
别急着摔鼠标,今天就用一根橡皮筋,演示怎么把流量弹回去。
开局三兄弟。
Server端着HTTP蹲在10.10.201.1,PC1和Client1共用一网段,192.168.201.x。
路由器AR1像保安亭,一边通服务器,一边通终端——先把这俩口子接上线,确认谁都能串门,再动刀。
动刀前要算细账:Client1是192.168.201.5,就她一个人不许摸80端口。
ACL3001里只需两行字
rule 5 deny tcp source 192.168.201.5 destination 10.10.201.1 0.0.0.0destination-port eq 80
rule 10 permit ip
往GE0/0/1口一贴,完事。
PC1打开网页继续丝滑,Client1能ping能ssh就是打不开页面——这就是橡皮筋的回弹力。
有人嫌两句命令太素?
加个log才带劲,后面谁敲门被拒,全写在日志里。
再大点的场面,把ACL和时间表绑一起,午休时间全端口禁入,晚上六点自动放行,顺手再挂个QoS牌子:财务优先级最高,行政下载别抢带宽。
eNSP不是玩具,它是免费练手的机房。
没那么多真路由器可烧,软件跑熟了再搬真机,省的不只是机器折旧,更是夜里调网卡时掉头发的代价。
最后提醒一句,ACL别写得跟作文一样长。
每加一条规则,路由器的CPU就多抬一次眼皮。
规则越瘦,转得越快;写得太多,防火墙都要报警。
顺手测一下:你现在知道把“只允许老板电脑访问财务服务器”写成ACL长什么样了吗?