Jan16 公司财务部计算机若干台，并架设了专用的财务系统服务器，进行局域网组建， 通过路由器连接至互联网。出于财务系统数据安全的考虑，需要在路由器访问控制策略，只 能财务部 PC1 能够访问财务系统前端网站；同时，服务器不可访问外部网络。项目拓扑如图 1 所示。具体要求如下： （1） 要求仅允许财务部 PC1 访问财务系统服务器前端网站； （2） 财务系统服务器仅在内网使用，不允许访问外部网络； （3） 测试计算机、路由器的 IP 和接口信息如拓扑所示。

配置出口路由器R1

system-view [Huawei]sysname R1 [R1]interface GigabitEthernet 0/0/0 [R1-GigabitEthernet0/0/0]ip address 16.16.16.16 255.255.255.0 [R1]interface GigabitEthernet 0/0/1 [R1-GigabitEthernet0/0/1]ip address 192.168.20.254 255.255.255.0 [R1]interface GigabitEthernet 0/0/2 [R1-GigabitEthernet0/0/2]ip address 192.168.10.254 255.255.255.0 [R1-GigabitEthernet0/0/2]quit

配置Internet的接口地址 Internet的接口地址模拟为外网地址。 system-view [Huawei]sysname Internet [Internet]interface GigabitEthernet 0/0/0 [Internet-GigabitEthernet0/0/0]ip address 16.16.16.15 255.255.255.0 [Internet-GigabitEthernet0/0/0]quit

配置R1上的默认路由 [R1]ip route-static 0.0.0.0 0.0.0.0 16.16.16.15

配置Internet上的默认路由 [Internet]ip route-static 0.0.0.0 0.0.0.0 16.16.16.16

①在路由器上配置高级 ACL 规则，允许财务部 PC1 对服务器 80 端口的访问。将规则应用到 G0/0/1 的端口上。

[R1]acl 3000 [R1-acl-adv-3000]rule 5 permit tcp source 192.168.10.1 0 destination-port eq www [R1-acl-adv-3000]rule 10 deny ip [R1]int G0/0/1 [R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000 [R1-GigabitEthernet0/0/1]quit

②在路由器上配置高级 ACL 规则，拒绝财务系统服务器对外网的访问。将规则应用到G0/0/0 的端口上。

[R1]acl 3001 [R1-acl-adv-3001]rule 5 deny ip source 192.168.20.0 0.0.0.255 [R1-acl-adv-3001]rule 10 permit ip [R1]int g0/0/0 [R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3001

1.4.1查看访问控制列表

[R1-GigabitEthernet0/0/1]quit [R1]display acl all

1.4.2.测试财务部 PC 与服务器 80 端口的连通性

①配置财务系统服务器 HttpServer，启用 80 端口。 PS：双击打开财务系统服务器后，移至服务器信息界面，选中HttpServer。在HttpServer界面选择文件根目录为“C：\Users\Administrator\Desktop\Backup”,即选择桌面上的backup文件夹。选中后，点击启动。 ②使用财务部 PC1 访问点击打开Client1客户端，选择HttpClient后，配置地址为http://192.168.20.1/default.html后，点击获取查看现象。 ③使用财务部 PC2 访问 点击打开Client2客户端，选择HttpClient后，配置地址为http://192.168.20.1/default.html后，点击获取查看现象。 1.4.3.测试服务器与外部网络的连通性

①使用财务系统服务器 Ping 测试外部网络: 财务部系统服务器不可以与外部网路通信。②使用财务部 PC1 Ping 测试外部网络: 可以看出，财务部可以与外部网路通信。