15.2 ACL的应用试验

ACL的应用试验

实验目的：配置设备，实现全网互通；配置ACL实现公司要求

实验环境：如图所示

实验要求：

1实现全网互通；web、FTP服务器能正常访问；

2网络设备和服务器只能网管主机通过telnet登录；

3生产部不能访问web服务器和互联网；

4实现财务部不能访问FTP服务

5财务部和生产部不能互通，但都可以和网管互通

实验步骤

要求1：实现全网互通；web、FTP服务器能正常访问

配置SW1

SW1>en

SW1#vlan data

SW1(vlan)#vlan 2

SW1(vlan)#vlan 3

SW1(vlan)#vlan 4

SW1(vlan)#exit

SW1#conf t

Switch(config)#int f0/2

Switch(config-if)#switchport access vlan 2

Switch(config-if)#no shu

Switch(config)#int f0/3

Switch(config-if)#switchport access vlan 3

Switch(config-if)#no shu

Switch(config)#int f0/4

Switch(config-if)#switchport access vlan 4

Switch(config-if)#no shu

Switch(config)#int f0/1

Switch(config-if)#switchport mode trunk

Switch(config-if)#no shu

管理地址

Switch(config-if-range)#int vlan 1

Switch(config-if)#ip add 192.168.2.10 255.255.255.0

Switch(config-if)#no shu

配置SW2

Switch>EN

Switch#conf t

Switch(config)#vlan 100

Switch(config-vlan)#exit

Switch(config)#int f0/2

Switch(config-if)#switchport access vlan 100

Switch(config-if)#no shu

Switch(config-if)#int f0/1

Switch(config-if)#switchport mode trunk

Switch(config-if)#no shu

管理地址

Switch(config-if-range)#int vlan 1

Switch(config-if)#ip add 192.168.100.10 255.255.255.0

Switch(config-if)#no shu

配置3SW

Switch>en

Switch#conf t

Switch(config)#vlan 2

Switch(config-vlan)#vlan 3

Switch(config-vlan)#vlan 4

Switch(config-vlan)#vlan 100

Switch(config-vlan)#exit

接口模式

Switch(config)#int range f0/2 -3

Switch(config-if-range)#switchport mode trunk

Switch(config-if-range)#no shu

网关

Switch(config-if-range)#int vlan 2

Switch(config-if)#ip add 192.168.2.1 255.255.255.0

Switch(config-if)#no shu

Switch(config-if)#int vlan 3

Switch(config-if)#ip add 192.168.3.1 255.255.255.0

Switch(config-if)#no shu

Switch(config-if)#int vlan 4

Switch(config-if)#ip add 192.168.4.1 255.255.255.0

Switch(config-if)#no shu

Switch(config-if)#int vlan 100

Switch(config-if)#ip add 192.168.100.1 255.255.255.0

Switch(config-if)#no shu

外网接口地址（管理IP）

Switch(config-if)#int f0/1

Switch(config-if)#no switchport

Switch(config-if)#ip add 10.0.0.1 255.0.0.0

Switch(config-if)#no shu

Switch(config-if)#exit

Switch(config)#ip routing

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2

配置R1

Router>EN

Router#CONF T

Router(config)#INT f0/0

Router(config-if)#ip add 10.0.0.2 255.0.0.0

Router(config-if)#no shu

互联网

Router(config-if)#exit

Router(config)#int loopback 0

Router(config-if)#ip add 123.0.1.1 255.255.255.0

Router(config-if)#no shu

Router(config-if)#exit

Router(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1

配置主机地址和服务器地址后进行测试

要求2、3、4、5：

配置R1

创建ACL：只允许2.0网络，拒绝其他所有

Router(config)#access-list 1 permit 192.168.2.0 0.0.0.255

配置VTY并应用ACL

Router(config)#username benet password 123456    创建本地用户和秘密

Router(config)#line vty 0 4

Router(config-line)#login local            使用本地用户登录（允许的主机都行，包括外网）

Router(config-line)#access-class 1 in        在VTY上应用规则1在进口

Router(config-line)#exit

配置3SW、SW1、SW2，与R1相同

Switch(config)#access-list 1 permit host 192.168.2.2    （网管主机如果只有一台）

Switch(config)#username benet password 123456

Switch(config)#line vty 0 4

Switch(config-line)#login local

Switch(config-line)#access-class 1 in

以上配置实现了网络设备只能网管主机通过telnet登录

配置3SW，控制服务器访问

创建ACL100，控制vlan100

允许网管主机访问服务器

Switch(config)#access-list 100 permit ip host 192.168.2.2 host 192.168.100.2

不允许0.0网络的主机访问服务器的telnet、SSH、远程桌面登录服务

Switch(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq telnet

Switch(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 22

Switch(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 3389

不允许财务部主机访问FTP服务

Switch(config)#access-list 100 deny tcp host 192.168.3.2 host 192.168.100.2 eq 21

不允许生产部主机访问web服务

Switch(config)#access-list 100 deny tcp host 192.168.4.2 host 192.168.100.2 eq 80

允许内网主机访问服务器的其它所有服务

Switch(config)#access-list 100 permit ip 192.168.0.0 0.0.0.255 host 192.168.100.2

允许外网主机访问服务器的web服务

Switch(config)#access-list 100 permit tcp any host 192.168.100.2 eq 80

不允许其它任何主机通过vlan100互相访问，vlan100里的主机不能访问互联网

Switch(config)#access-list 100 deny ip any any

应用规则到出口（相对来说vlan100是出口）

Switch(config)#int vlan 100

Switch(config-if)#ip access-group 100 out

配置3SW，控制主机之间的访问

创建ACL101，控制vlan3

允许财务部主机访问服务器

Switch(config)#access-list 101 permit ip host 192.168.3.2 host 192.168.100.2

允许财务部主机访问网管主机

Switch(config)#access-list 101 permit ip host 192.168.3.2 host 192.168.2.2

不允许其它任何主机通过vlan3互相访问，也不能访问互联网

Switch(config)#access-list 101 deny ip any any

应用规则到进口（相对来说vlan3是进口）

Switch(config)#int vlan 3

Switch(config-if)#ip access-group 101 in

创建ACL102,控制vlan4

允许生产部主机访问服务器

Switch(config)#access-list 102 permit ip host 192.168.4.2 host 192.168.100.2

允许生产部主机访问网管主机

Switch(config)#access-list 102 permit ip host 192.168.4.2 host 192.168.2.2

不允许生产部主机访问财务部主机

Switch(config)#access-list 102 deny ip host 192.168.4.2 host 192.168.3.2

允许主机访问外网

Switch(config)#access-list 102 permit ip any any

应用到vlan4

Switch(config)#int vlan 4

Switch(config-if)#ip access-group 102 in

测试