首頁> 娛樂> 第一臺電腦PC不能和第二臺電腦PC互訪問

第一臺電腦PC不能和第二臺電腦PC互訪問

由 很耐看的涼者 發表于 娛樂

第一臺電腦PC不能和第二臺電腦PC互訪問

公司網路拓撲圖

2、第一臺電腦PC不能和第二臺電腦PC互訪問,但要訪問第三臺電腦。

登入路由器R1,啟用PC1區域和PC2區域的域間防火牆。

【R1】firewall interzone PC1 PC2

【R1-interzone-PC1-PC2】firewall enable

命令firewall enable的作用是啟用域間防火牆。

注意,此時PC1可以訪問PC2。PC2就不能訪問PC1。因為此時PC1的報文是Outbound報文,而PC2的報文是Inbound報文。出現這種報文不同是因為之前我們配置PC1和PC2區域的安全級別不同,PC1安全級別為12,PC2安全級別為10,總結區域安全級別高的可以訪問安全級別低的區域,而安全級別低的不可以訪問安全級別高的。

使用命令display firewall interzone PC1 PC2檢視區域間的策略。

【R1】display firewall interzone PC1 PC2

interzone PC1 PC2

firewall enable

packet -filter default permit outbound

packet -filter default deny inbound

但是我們要求互相不能訪問,所以接下來我們用高階ACL 3000 來定義PC1到PC2的報文,步長設定為10。

【R1】acl 3000

【R1-acl-adv-3000】step 10

【R1-acl-adv-3000】rule deny ip source 172。16。1。0 0。0。0。255 destiantion

172。16。2。0 0。0。0。255

【R1-acl-adv-3000】firewall interzone PC1 PC2

【R1-interzone-PC1-PC2】packet-filter 3000 outbound

此時已經實現PC1和PC2互相不能訪問。

使用命令display acl 300檢視ACL的配置

【R1】display acl 3000

advanced ACL 3000,1rule

Acl‘s step is 10

rule 10 deny ip source 172。16。1。0 0。0。0。255 destiantion

172。16。2。0 0。0。0。255

再檢視PC1和PC2的域間的Firewall策略

【R1】display firewall interzone PC1 PC2

interzone PC1 PC2

firewall enable

packet -filter default permit outbound

packet -filter default deny inbound

packet -filter 3000 outbound

可以看到,ACL 3000 已經應用到了PC1和PC2的域間outbound方向上,就已經完全實現了PC1和PC2相互不能訪問了。

TAG:PC1PC2R13000安全級別

相關文章