一:拓扑:

自反ACL在企业网中的应用_第1张图片
 

二:实验需求:
开发和财务都能访问公共。财务和开发不可互通。公共不可以访问财务和开发。财务开发公共都能上外网。
三:实验步骤:
1:基本接口IP和vlan的配置;
VPCS 1 >ip  192.168.1.2 192.168.1.1 24
PC1 : 192.168.1.2 255.255.255.0 gateway 192.168.1.1

VPCS 1 >2
VPCS 2 >ip 192.168.2.2 192.168.2.1 24
PC2 : 192.168.2.2 255.255.255.0 gateway 192.168.2.1

VPCS 2 >3
VPCS 3 >ip 192.168.3.2 192.168.3.1 24
PC3 : 192.168.3.2 255.255.255.0 gateway 192.168.3.1
SW#vlan da
SW(vlan)#vlan 10 name Pub
SW(vlan)#vlan 20 name kaifa
SW(vlan)#vlan 30 name caiwu
SW(vlan)#exit
APPLY completed.
Exiting....

W(config)#int f0/1
SW(config-if)#switchport access vlan 10
SW(config-if)#int f0/2
SW(config-if)#switchport access vlan 20
SW(config-if)#int f0/3
SW(config-if)#switchport access vlan 30
SW#sho vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/4, Fa0/5, Fa0/6, Fa0/7
                                                Fa0/8, Fa0/9, Fa0/10, Fa0/11
                                                Fa0/12, Fa0/13, Fa0/14, Fa0/15
10   Pub                              active    Fa0/1
20   kaifa                            active    Fa0/2
30   caiwu                            active    Fa0/3
2:vlan 间路由的配置。
SW(config)#ip routing
SW(config)#int vlan 10
SW(config-if)#ip add 192.168.1.1 255.255.255.0
SW(config-if)#no sh
SW(config-if)#int vlan 20
SW(config-if)#ip add 192.168.2.1 255.255.255.0
SW(config-if)#no sh
SW(config-if)#int vlan 30
SW(config-if)#ip add 192.168.3.1 255.255.255.0
SW(config-if)#no sh
用三层交换机实现vlan间路由。测试PC之间连通性。
VPCS 3 >ping 192.168.1.2
192.168.1.2 icmp_seq=5 time=31.000 ms

VPCS 3 >ping 192.168.2.2
192.168.2.2 icmp_seq=5 time=63.000 ms
交换机实现了VLAN间路由,内网已经可以通信,但还需要连接到外网,4500以下交换机不具有NAT功能,所以借助于路由器连接到外网。

R1(config)#int f0/0
R1(config-if)#ip add 12.0.0.2 255.255.255.0
R1(config-if)#no sh

SW(config)#int f0/0
SW(config-if)#no switchport
SW(config-if)#ip add 12.0.0.1 255.255.255.0
SW(config-if)#no sh
SW(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2
R1(config)#ip route 192.168.0.0 255.255.0.0 12.0.0.1
R1#ping 192.168.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
.!!!!
现在内网能通信,也能借助于路由器连接到外网,但内网之间还需要实现一些安全性策略。
3:ACL的配置.
开发vlan 20 和财务vlan 30都能访问公共vlan 10。财务和开发不可互通。公共不可以访问财务和开发。  财务开发公共都能上外网。
也就是说拒绝vlan 20访问vlan 30,允许vlan 20访问vlan 10,但vlan 10不能访问vlan 20,允许其它任何流量。
 ip access-list extended inacl20  
deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip  192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 reflect vlan20
permit ip any any
exit

ip access-list extended outacl20
evalu vlan20
exit
inter vlan 20
ip access-g inacl20 in
ip access-g outacl20 out
exit
也就是说拒绝vlan 30访问vlan 20,允许vlan30访问vlan 10,但vlan 10不能访问vlan 30,允许其它任何流量。
ip access-list extended inacl30
deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255   reflect vlan30   
permit  ip any any
exit
ip access-list extended outacl30
evalu vlan30
exit
inter vlan 30
ip access-g inacl30 in
ip access-g outacl30 out
4:测试:

VPCS 3 >ping 192.168.2.2
192.168.2.2 icmp_seq=1 timeout    vlan 30不能访问vlan 20。

 

VPCS 3 >ping 192.168.1.2
192.168.1.2 icmp_seq=1 time=18.000 ms   vlan 30可以访问vlan 10。

VPCS 3 >1
VPCS 1 >ping 192.168.2.2   vlan 10不能访问vlan 20。
192.168.2.2 icmp_seq=1 timeout

VPCS 1 >ping 192.168.3.2   vlan 10不能访问vlan 30。
192.168.3.2 icmp_seq=1 timeout

VPCS 1 >ping 12.0.0.2    vlan 10可以访问外网。
12.0.0.2 icmp_seq=1 time=72.000 ms

VPCS 1 >2
VPCS 2 >ping 12.0.0.2    vlan 20可以访问外网。
12.0.0.2 icmp_seq=1 time=72.000 ms

VPCS 2 >3
VPCS 3 >ping 12.0.0.2    vlan 30可以访问外网。
12.0.0.2 icmp_seq=1 time=56.000 ms
//结果完全符合用户需求。