CISCO路由器访问控制列表---之经理权利
在公司内为了各个部门的信息安全,一般都是不允许部门之间互相通讯的,经理级别的人物那当然是例外啦,下面就看我们怎么完成这个任务吧。
任务:即实现各部门之间不能通讯,但经理之间可以通讯,公司所有人都能上外网
由于实验关系,拓扑图比较简单,如下:
1、 首先让所有的PC机都能通讯,交换机实现VLAN兼路由
启动VTP
Switch(config)#vtp domain test
Switch(config)#vtp mode server
Switch(config)#vtp password admin
Switch(config)#vtp version 2
Switch(config)#vtp pruning
创建VLAN 每个部门创建一个VLAN,宣传部为VLAN10 通讯部为VLAN20
Switch(config)#vlan 10
Switch(config-vlan)#name xuanchuan
Switch(config-vlan)#ex
Switch(config)#vlan 20
Switch(config-vlan)#name tongxun
启动TRUNK链路
Switch(config)#interface f0/1
Switch(config-if)#switchport mode trunk
将宣传部划分为VLAN10
Switch(config)#interface f0/2
Switch(config-if)#switchport access vlan 10
Switch(config-if)#ex
Switch(config)#interface f0/3
Switch(config-if)#switchport access vlan 10
将通讯部划分为VLAN20
Switch(config)#interface f0/4
Switch(config-if)#switchport access vlan 20
Switch(config-if)#ex
Switch(config)#interface f0/5
Switch(config-if)#switchport access vlan 20
2、路由器的F0/0接口设置子接口
将F0/0.1接口加入VLAN10
r1(config)#interface f0/0.1
r1(config-subif)#encapsulation dot1Q 10
配置IP
r1(config-subif)#ip address 192.168.1.1 255.255.255.0
将F0/0.2接口加入VLAN20
r1(config)#interface f0/0.2
r1(config-subif)#encapsulation dot1Q 20
配置IP
r1(config-subif)#ip address 192.168.2.1 255.255.255.0
3、路由器配置RIP
r1(config)#router rip
r1(config-router)#network 192.168.1.0
r1(config-router)#network 192.168.2.0
r1(config-router)#network 172.16.1.0
模拟外网路由器配置rip
router(config-router)#network 172.16.1.0
4、路由器上配置访问列表
访问列表1
r1(config)#access-list 1 permit 192.168.1.2 0.0.0.0
r1(config)#access-list 1 deny 192.168.1.0 0.0.0.255
r1(config)#access-list 1 permit any
访问列表2
r1(config)#access-list 2 permit 192.168.2.2 0.0.0.0
r1(config)#access-list 2 deny 192.168.2.0 0.0.0.255
r1(config)#access-list 2 permit any
5、访问列表应用到接口上
根据标准访问控制列表,要绑定靠近目标IP的路由器接口上
所以访问控制列表1要绑定到F0/0.2
r1(config)#interface f0/0.1
r1(config-subif)#ip access-group 2 out
所以访问控制列表2要绑定到F0/0.1
r1(config)#interface f0/0.2
r1(config-subif)#ip access-group 1 out
6、验证,通过各个PC机的PING,检验是否成功。
注:本文旨在说明原理方法,不考虑实际应用环境
感谢懒人学网络提出的错误信息及意见
注:本文旨在说明原理方法,不考虑实际应用环境
感谢懒人学网络提出的错误信息及意见