访问控制列表(ACL)的应用实例

一、实验环境

    GNS3模拟软件

二、实验拓扑如图

    

三、网络规划

    1.配置设备的管理地址。其中SW1为192.168.0.1/24，SW2为192.168.0.2/24，SW3为                     192.168.0.3/24,R1为1.1.1.1/32

    2.PC1为网络管理区主机，其中IP地址为192.168.2.2/24，网关为192.168.2.1/24，属于VLAN 2。

      PC2为财务部主机，其中IP地址为192.168.3.2/24，网关为192.168.3.1/24，属于VLAN 3。

      PC3为信息安全员主机，其中IP地址为192.168.4.2/24，网关为192.168.4.1/24，属于VLAN 4。

      服务器IP地址为192.168.100.2/24，网关为192.168.100.1/24，属于VLAN 100.

    3.在SW1交换机VLAN 2接口的IP地址为192.168.2.1/24.  VLAN 3 接口的IP地址为192.168.3.1/24.

      VLAN 4接口的IP地址为192.168.4.1/24.          VLAN 100 接口的IP地址为192.168.100.1/24.

    4.SW1和R1的互联地址为10.0.0.0/30 

    5.配置R1路由器的loopback口地址为123.0.1.1/24，模拟外网地址

四、实验需求

    1.网络设备只允许网管区IP地址通过TELNET登录，并配置设备用户名为cisco，密码为123123

    2.只有网关区主机才能通过SSH、TELNET、远程桌面等登录方式管理服务器

    3.信息安全员可以访问服务器，但不能访问外网。

    4.外网只能访问服务器的WWW服务

五、实验步骤

    1.配置设备，实现全网互通

      R1配置如下

      

      

     SW1配置信息如下

     

      

     

     SW2的配置信息如下

     

     

     SW3配置信息如下

     

     

     使用ping命令验证是否全网互通

     

    

   2.配置ACL，实现公司要求

     配置实现网络设备只允许网关区IP地址可以通过TELNET登录，并配置设备用户名为cisco，密码为      123123，R1的配置如下

     

     SW1、SW2、SW3的配置与R1相同，此处省略

     公司其他要求的配置命令如下

     

//ACL110表示内网主机都可以访问服务器，但是只有网管区主机才能通过telnet、SSH和远程桌面登录服务器，外网只能访问服务器的WWW服务

sw1(config)#access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.100.2

//上述一条ACL表示，允许网络管理员网段192.168.2.0/24访问服务器

sw1(config)#access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.100.2 eq             telnet

sw1(config)#access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.100.2 eq 22

sw1(config)#access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.100.2 eq 3389

//上述四条ACL表示，除192.168.2.0/24网段外其他所有内网地址均不能通过telnet、SSH和远程桌面登录服务器

sw1(config)#access-list 110 permit ip 192.168.0.0 0.0.255.255 host 192.168.100.2

sw1(config)#access-list 110 permit tcp any host 192.168.100.2 eq 80 

//上述两条ACL表示，允许内网主机访问服务器，允许外网主机访问服务器的WWW服务

sw1(config)#access-list 110 deny ip any any

sw1(config)#int vlan 100

sw1(config-if)#ip access-group 110 out //应用到OUT方向

sw1(config-if)#ex

//ACL120 表示192.168.3.0/24网段主机可以访问服务器，可以访问网络管理员网段，但不能访问其他网段，也不能访问外网

sw1(config)#access-list 120 permit ip 192.168.3.0 0.0.0.255 host 192.168.100.2

sw1(config)#access-list 120 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

sw1(config)#access-list 120 deny ip any any 

sw1(config)#int vlan 3

sw1(config-if)#ip access-group 120 in //应用到in方向

sw1(config-if)#ex

//ACL130 表示192.168.4.0/24网段主机可以访问服务器，可以访问网络管理员网段，但不能访问其他网段，可以访问外网（主要用于测试）

sw1(config)#access-list 130 permit ip 192.168.4.0 0.0.0.255 host 192.168.100.2         

sw1(config)#access-list130 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255

sw1(config)#access-list 130 deny ip 192.168.4.0 0.0.0.255 192.168.0.0 0.0.255.255

sw1(config)#access-list130 permit ip any any                                    

sw1(config)#int vlan 4

sw1(config-if)#ip access-group 130 in 

sw1(config-if)#ex

    3.配置完成后，使用ping命令验证配置是否正确

      

     其他要求的验证就不一一列举，有兴趣的朋友可以自己验证一下（注：如果验证外网访问服务器的      80端口、telnet等需要用到虚拟机）