访问控制列表（ACL）的应用

实验案列:访问控制列表（ACL）的应用

网络规划如下:

Ø公司全部使用192.168.0.0/16网段地址

Ø配置设备的网关地址,其中sw1为192.168.0.1/24,sw2为192.168.0.2/24,sw3为192.168.0.3/24,R1为1.1.1.1/32

ØPc1为网络管理区主机,其IP地址为 192.168.2.2/24,网关为192.168.2.1/24,属于vlan2,pc2

Ø为财务部主机,IP地址为192.168.3.2/24,网关为192.168.3.1/24,属于vlan3,pc3位信息安全员主机,IP地址为192.168.4.2/24,网关为192.168.4.1/24,属于vlan4

Ø在sw1交换机valn2接口的IP地址为192.168.2.1/24,vlan3接口的IP地址为19.168.3.1/24,vlan4接口的IP地址为192.168.4.1/24,vlan10接口的IP地址为192.168.100.1/24

Ø服务器的IP地址为192.168.100.2/24,网关为192.168.100.1/24,属于vlan100

ØSw1和R1的互联地址为10.0.0.0/30

Ø配置R1路由器的loopback接口地址为123.0.1.1/24,为外网地址

推荐步骤 :

1.配置设备,实现全网互通

2.配置ACL实现公司要求

3.配置完后查看sw1的配置信息

4.配置完成后验证

配置命令：

R1配置如下

R1（config）#int  f0/0

R1 (config-if)#ip  add 10.0.0.1 255.255.255.252

R1(config-if)#no sh

R1(config)int  lo  0

R1(config-if)#ip add 123.0.1.1255.255.255.0

R1(config-if)#no sh

R1(config)#ip  route 192.168.0.0 255.255.255.0 10.0.0.2    //配置到内网的静态路由

R1(config)#int  flo 1

R1(config-if)#ip  add 1.1.1.1 255.255.255.255

R1(config-if)#no sh

配置实现网络设备只允许网管区IP地址可以通过 TELNET登录,并配置设备用户名密码

R1(config)#access-list 1  permit 192.168.2.0  0.0.0.255

R1(config)#username benet  password 123

R1(config)#line vty 0 4

R1(config-line)#loging  local

R1(config-line)#access-list 1 in

R1(config-line)#iexit

Sw1配置信息

Sw1(config)vlan 2

Sw1(config)vlan 3

Sw1(config)vlan 4

Sw1(config)vlan 100

Sw1(config)#int  f0/1

Sw1(config-if)#no  switchport        //启用路由接口

Sw1(config-if)#ip  add 10.0.0.2  255.255.255.252

Sw1(config-if)#no sh

Sw1(config)#ip  route  0.0.0.0  0.0.0.0 10.0.0.1     //配置到外网的默认路由

Sw1(config)#int  range f0/23  -24

Sw1(config-if-range)#switchport  trunk encapsulation dot1q  

//配置trunk并指定接口的封装模式

Sw1(config-if-range)#switchport  mode trunk

Sw1(config)#int  vlan  2

Sw1(config-if)#ip  add 192.168.2.1  255.255.255.0

Sw1(config-if)#no sh

Sw1(config)#int  vlan  3

Sw1(config-if)#ip  add 192.168.3.1  255.255.255.0

Sw1(config-if)#no sh

Sw1(config)#int  vlan  4

Sw1(config-if)#ip  add 192.168.4.1  255.255.255.0

Sw1(config-if)#no sh

Sw1(config)#int  vlan 100

Sw1(config-if)#ip  add 192.168.100.1  255.255.255.0

Sw1(config-if)#no sh

Sw1(config)#ip  routing

Sw1(config)#int  vlan  1

Sw1(config-if)#ip  add 192.168.0.1  255.255.255.0

Sw1(config-if)#no sh

Sw2配置信息如下

Sw2(config)#vlan 2

Sw2(config)#vlan 3

Sw2(config)#vlan 4

Sw2(config)#int f0/24

Sw2(config-if)#switchport  mode trunk

Sw2(config)#int f0/1

Sw2(config-if)# switchport  access vlan 2

Sw2(config)#int f0/2

Sw2(config-if)# switchport  access vlan 3

Sw2(config)#int f0/3

Sw2(config-if)# switchport  access vlan 4

Sw2(config)#int vlan 1

Sw2(config-if)# ip add 192.168.0.2  255.255.255.0

Sw2(config)#ip default-gateway  192.168.0.1  //指定默认网关

Sw3的配置信息如下

Sw3 (config)#vlan  100

Sw3 (config-if)#exit

Sw3 (config)#int f0/24

Sw3 (config-if)# switchport  mode  trunk

Sw3 (config)#int f0/1

Sw3 (config-if)# switchport  access vlan  100

Sw1(config)#int  vlan  1

Sw1(config-if)#ip  add 192.168.0.3  255.255.255.0

Sw1(config-if)#no sh

Sw2(config)#ip default-gateway  192.168.0.1  //指定默认网关

Sw1 sw2 sw3配置公司其他要求如下

//ACL100 表示内网主机都可以访问服务器，但只有网络管理员才能通过telnet ssh和远程桌面登录服务器，外网只能访问服务器的80 端口

Sw1(config)#access-list  100 permit  ip  192.168.2.0 0.0.0.255  host  192.168.100.2

//上述一条ACL表示：允许网络管理员网段192.168.2.0/24 访问互联网

Sw1（config）#access-list  100 deny  tcp  192.168.0.0 0.0.255.255 host 192.168.100.2 eq  te lnet

Sw1(config)access-list  100 deny  tcp  192.168.0.0 0.0.255.255  host  192.168.100.2 eq   22

Sw1(config)#access-list  100 deny  tcp  192.168.0.0 0.0.255.255  host  192.168.100.2 eq  3389

//上述四条ACL表示:除192.168.2.0/24网段外其他所有网络地址均不能通过telnet  ssh和远程桌面登录服务

Sw1(config)#access-list  100 permit  ip  192.168.0.0 0.0.255.255  host  192.168.100.2

Sw1(config)#access-list  100 permit  tcp  any host  192.168.100.2  eq  80

//上述两条ACL表示:允许内网主机访问服务器的80端口

Sw1(config)#accesss-list  100 deny  ip  any any

Sw1(config)#interfacevlan  100

Sw1(config-if)#ip  access-group 100  out //应用到out方向

Sw1(config-if)#exit

//ACL 101  表示192.168.3.0/24网段主机可以访问服务器,可以访问网络管理员网段,但不能访问其他部门网段,也不能访问外网

Sw1(config)#access-list  101  permit ip  192.168.3.0  0.0.255.255 host  192.168.100.2

Sw1(config0#access-list  101 permit  ip  192.168.3.0 0.0.255.255  192.168.2.0  0.0.255.255

Sw1(config)#access-list  101 deny  any  any

Sw1(config)#interface  vlan  3

Sw1(config-if)#ip  access-group 101  in    //应用到in方向

Sw1(config-if)#exit

//ACL 102  表示192.168.4.0/24网段主机可以访问服务器,可以网络管理员网段,但不能访问其他部门网段,可以访问外网(这里用于测试)

Sw1(config)#access-list  102 permit  ip  192.168.4.0 0.0.255.255  host  192.168.100.2

Sw1(config)# access-list  102 permit  ip  192.168.4.0 0.0.255.255  192.168.2.0  0.0.255.255

Sw1(config)# access-list  102  deny  ip  192.1684.0 0.0.255.255   192.168.0.0  0.0.255.255

Sw1(config)# access-list  102 permit  ip  any any

Sw1(config)#interface  valn  4

Sw1(config-if)#ip  access-group 102  in

Sw1(config-if)#exit

Sw1#show ip  access-list        //查看ACL信息

用ping命令测试配置最后实现全网互通