访问控制列表的经典案例

实验拓扑

（1）    请配置 ACL 实现：既保证经理的访问，又不让其他人访问。

 

RouterA#configure terminal

RouterA(config)#access-list 1 permit host 192.168.5.1

RouterA(config)#access-list 1 deny any

RouterA(config)#int e0

RouterA(config-if)#ip access-group 1 out

（2）    财务部门为了更好地服务员工，开发了一个 WEB 站点供员工查询薪资信息。请配置 ACL 实现：员工既能保证查询到个人的薪资信息，又要保证财务部门核心数据库的安全，杜绝恶意窥探和入侵。

 

RouterA(config)# access-list 100 permit ip host 192.168.5.1 any

RouterA(config)# access-list 100 permit ip 192.168.2.0 0.0.0 .255 host 192.168.1.2

RouterA(config)# access-list 100 permit ip 192.168.5.0 0.0.0 .255 host 192.168.1.2

RouterA(config)# access-list 100 permit ip 192.168.6.0 0.0.0 .255 host 192.168.1.2

RouterA(config)# access-list 100 deny ip any any

RouterA(config)#int e0

RouterA(config-if)#ip access-group 100 out

 

（3）    财务部的 WEB 服务器出现硬件故障，其 WEB 站点迁移到了财务部门的数据库服务器上。调整 ACL 配置策略，要求员工既能保证查询到个人的薪资信息，又要保证能财务部门核心数据库的安全。已知 Web 服务使用的端口号为 80 。

 

RouterA(config)# access-list 100 permit ip host 192.168.5.1 any

RouterA(config)# access-list 100 permit tcp 192.168.2.0 0.0.0 .255  host 192.168.100.1 eq 80

RouterA(config)# access-list 100 permit tcp 192.168.5.0 0.0.0 .255 host 192.168.100.1 eq 80

RouterA(config)# access-list 100 permit tcp 192.168.6.0 0.0.0 .255 host 192.168.100.1 eq 80

RouterA(config)# access-list 100 deny ip any any

RouterA(config)#int e0

RouterA(config-if)#ip access-group 100 out