OSPF与ACL的综合应用

在企业中OSPF和ACL应用特别广泛，本实验介绍OSPF和ACL具体配置过程

实验拓扑：

实验要求：

1.企业内网运行OSPF路由协议，区域规划如图所示；
2.财务和研发所在的区域不受其他区域链路不稳定性影响；
3.R1、R2、R3只允许被IT登录管理；
4.YF和CW之间不能互通，但都可以与IT互通；
5.IT和YF可以访问Client1，但CW不能访问Client1；
6.YF和CW只能访问Server1的WWW服务；

实验要求分析：

财务部（CW）
1.YF和CW之间不能互通，但都可以与IT互通；
2.CW不能访问Client1；
3.CW只能访问Server1的WWW服务；
研发部（YF）
1.YF和CW之间不能互通，但都可以与IT互通；
3.YF只能访问Server1的WWW服务；
IT部（IT）
1.R1、R2、R3只允许被IT登录管理；
2.IT可以访问Client1；

实验步骤：

1.按照拓扑图进行IP地址基本配置，

2.配置OSPF

在路由器R1,R2,R3及IT上设置相应的域，（router-id设不设随意

stub  no-summary命令设置边缘区域  节省带宽，只接收域内路由）

3.配置ACL，满足企业需求；

财务部ACL设置：

在R3上设置2000的规则配置easy-ip，使IT部可以访问出去在vty的入口进行实现，设置密码登录

再设置一个财务部的acl

设置禁止财务部（网段192.168.30.0/24）访问Client1（网段1.1.1.0/24）访问研发部（网段192.168.20.0/24）

禁止财务部ping服务器（IP192.168.40.1/24）允许财务部访问服务器中www服务器，我们在0/1接口入口实现规则

研发部ACL设置：

在R2设置2000的规则，设置easy-ip，使IT部可以访问出去在vty的入口进行实现设置密码登录，

再设置一个研发部的acl

禁止研发部（网段192.168.20.0/24）访问财务部（192.168.30.0/24）ping服务器（IP192.168.40.1/24）

只允许研发部访问服务器中www服务器，我们在0/2接口入口实现规则

IT部ACL设置：

在R2设置2000的规则，设置easy-ip，使IT部可以访问出去在vty的入口进行实现设置密码登录

再设置一个3000的高级acl

允许Client1访问服务器中www服务器，禁止Client1ping服务器（IP192.168.40.1/24）我们在0/1接口入口实现规则

4.验证配置：

财务可以访问server1服务器的web服务

但无法ping通server1服务器

研发可以访问server1的web服务

但无法ping通server1服务器

R1、R2、R3只允许被IT登录管理

R1不可以登陆R2：

别忘了save命令保存配置