命名ACL（命名acl的优点）

命名ACL（命名acl的优点）

实验需求

公司内部网络规划如下：根据公司现有各部门主机数量和以后增加主机的情况，为每个部门分配一个C类地址，并且每个部门使用一个VLAN,以便于管理。分配一个C类地址作为设备的管理地址。按照上述规划配置设备，已经实现了网络联通。基于信息安全方面考虑，公司要求如下。限定不同部门能访问的服务器。例如，财务部只能访问财务部服务器，生产部只能访问生产部服务器。网络管理员可以访问所有服务器网络设备只允许网管区IP地址通过telnet登录，并配置设备用户名为zhangsan，密码为test。只有网管才能通过远程桌面、Telnet、SSH等登录方式管理服务器。要求所有部门之间不能互通,但都可以和网络管理员互通。公司中有几名信息安全员，公司要求信息安全员可以访问服务器，但不能访问Intelnet。外网只能访问特点服务器的特定服务

实验拓扑图

地址规划如图

1.先给交换机把接口封装

IOU2(config)#interface range ethernet 0/1-2IOU2(config-if-range)#switchport trunk encapsulation dot1q IOU2(config-if-range)#switchport mode trunk IOU2(config-if-range)#exit

2.把两个二层交换机接口封装

IOU3(config)#interface e0/0IOU3(config-if)#switchport trunk encapsulation dot1q IOU3(config-if)#switchport mode trunk IOU3(config-if)#exit

IOU4(config)#interface e0/0IOU4(config-if)#switchport trunk encapsulation dot1q IOU4(config-if)#switchport mode trunk

2.配置vlan

IOU2(config)#vlan 10-13,100IOU2(config-vlan)#exit

IOU3(config)#vlan 10-13,100IOU3(config-vlan)#exit

IOU4(config)#vlan 10-13,100IOU4(config-vlan)#exit

查看vlan

3.vlan网关配置

IOU2(config)#interface vlan 10IOU2(config-if)#ip addre 10.0.10.254 255.255.255.0IOU2(config-if)#no shutdownIOU2(config-if)#exitIOU2(config)#interface vlan 11IOU2(config-if)#ip add 10.0.11.254 255.255.255.0IOU2(config-if)#no shutdownIOU2(config-if)#exitIOU2(config)#interface vlan 12IOU2(config-if)#ip add 10.0.12.254 255.255.255.0IOU2(config-if)#no shutdownIOU2(config-if)#exitIOU2(config)#interface vlan 13IOU2(config-if)#ip add 10.0.13.254 255.255.255.0IOU2(config-if)#no shutIOU2(config-if)#exitIOU2(config)#interface vlan 100IOU2(config-if)#ip address 10.0.100.254 255.255.255.0IOU2(config-if)#no shutdownIOU2(config-if)#exit

查看vlan地址

4.在IOU3上把接口加入上对应的vlan

IOU3(config)#interface e0/1IOU3(config-if)#switchport mode access IOU3(config-if)#switchport access vlan 10IOU3(config-if)#exitIOU3(config)#interface e0/2IOU3(config-if)#switchport mode access IOU3(config-if)#switchport access vlan 11IOU3(config-if)#exitIOU3(config)#interface e0/3IOU3(config-if)#switchport mode access IOU3(config-if)#switchport access vlan 12IOU3(config-if)#exit

5.在IOU3.4上给他们配置网管地址

IOU3(config)#no ip routingIOU3(config)#interface vlan 100IOU3(config-if)#ip add 10.0.100.2 255.255.255.0IOU3(config-if)#no shutdownIOU3(config-if)#exit

IOU4(config)#no ip routingIOU4(config)#interface vlan 100IOU4(config-if)#ip address 10.0.100.3 255.255.255.0IOU4(config-if)#no shutdownIOU4(config-if)#exitIOU4(config)#ip default-gateway 10.0.100.254IOU4(config)#

6.给路由器配置ip地址和loo地址

IOU1(config)#interface ethernet 0/0IOU1(config-if)#duplex full IOU1(config-if)#ip add 10.0.0.1 255.255.255.252IOU1(config-if)#no shutdownIOU1(config-if)#exitIOU1(config)#interface loopback 0IOU1(config-if)#ip add 123.0.1.1 255.255.255.0IOU1(config-if)#no shutdownIOU1(config-if)#exitIOU1(config)#interface l001IOU1(config-if)#ip add 1.1.1.1 255.255.255.255IOU1(config-if)#no shutdown

7.配置路由

IOU1(config)#ip route 10.0.100.0 255.255.255.0 10.0.0.2IOU1(config)#ip route 10.0.10.0 255.255.255.0 10.0.0.2 IOU1(config)#ip route 10.0.11.0 255.255.255.0 10.0.0.2IOU1(config)#ip route 10.0.12.0 255.255.255.0 10.0.0.2IOU1(config)#ip route 10.0.13.0 255.255.255.0 10.0.0.2IOU1(config)#

IOU2上配置默认路由

IOU2(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1

查看路由表

测试网络ping通性

8.配置vty实现实验需求

配置vty命名为zhangsan密码为test

IOU1(config)#username zhangsan privilege 15 password testIOU1(config)#line vty 0 4IOU1(config-line)#login local IOU1(config-line)#transport input telnet IOU1(config-line)#exitIOU1(config)#ip access-list standard telnetIOU1(config-std-nacl)#permit 10.0.10.0 0.0.0.255IOU1(config-std-nacl)#exitIOU1(config)#line vty 0 4IOU1(config-line)#access-class telnet in IOU1(config-line)#exit

验证

pc1验证

pc2验证

配置命名列表lisi实现内外主机都可以访问服务器，但只有网管才能通过telnet、ssh和远程桌面登录服务器，外网只能访问服务器的80端口，

配置命名列表lisi表示10.0.11.0、24网段主机可以访问服务器，可以访问网管网段，当不能访问其他部门，也不能访问外网

命名列表wangwu表示10.0.12.0/网段主机可以访问服务器，可以访问网管网段，但不能访问其他部门网段，可以访问外网

sw1命名ACL命令

IOU2(config)#ip access-list extended lisiIOU2(config-ext-nacl)#permit ip 10.0.10.0 0.0.0.255 host 10.0.100.1IOU2(config-ext-nacl)#deny tcp 10.0.11.0 0.0.0.255 host 10.0.100.1 eq telnet IOU2(config-ext-nacl)#deny tcp 10.0.12.0 0.0.0.255 host 10.0.100.1 eq telnet IOU2(config-ext-nacl)#deny tcp 10.0.13.0 0.0.0.255 host 10.0.100.1 eq telnet IOU2(config-ext-nacl)#deny tcp 10.0.11.0 0.0.0.255 host 10.0.100.1 eq 22IOU2(config-ext-nacl)#deny tcp 10.0.12.0 0.0.0.255 host 10.0.100.1 eq 22IOU2(config-ext-nacl)#deny tcp 10.0.13.0 0.0.0.255 host 10.0.100.1 eq 22IOU2(config-ext-nacl)#deny tcp 10.0.13.0 0.0.0.255 host 10.0.100.1 eq 3389IOU2(config-ext-nacl)#deny tcp 10.0.12.0 0.0.0.255 host 10.0.100.1 eq 3389IOU2(config-ext-nacl)#deny tcp 10.0.11.0 0.0.0.255 host 10.0.100.1 eq 3389IOU2(config-ext-nacl)#permit tcp any host 10.0.100.1 eq 80IOU2(config-ext-nacl)#exitIOU2(config)#interface vlan 100IOU2(config-if)#ip access-group lisi out IOU2(config-if)#exitIOU2(config)#ip access-list extended wangwuIOU2(config-ext-nacl)#permit ip 10.0.11.0 0.0.0.255 host 10.0.100.1IOU2(config-ext-nacl)#permit ip 10.0.11.0 0.0.0.255 10.0.10.0 0.0.0.255IOU2(config-ext-nacl)#deny ip any any IOU2(config-ext-nacl)#exitIOU2(config)#interface vlan 11IOU2(config-if)#ip access-group wangwu in IOU2(config-if)#exitIOU2(config)#ip access-list extended wangwuIOU2(config-ext-nacl)#permit ip 10.0.12.0 0.0.0.255 host 10.0.100.1IOU2(config-ext-nacl)#permit ip 10.0.12.0 0.0.0.255 10.0.10.0 0.0.0.255IOU2(config-ext-nacl)#deny ip 10.0.12.0 0.0.0.255 10.0.0.0 0.0.255.255IOU2(config-ext-nacl)#permit ip any any IOU2(config-ext-nacl)#exitIOU2(config)#intIOU2(config)#interface vlan 12IOU2(config-if)#ip access-group wangwuIOU2(config-if)#ip access-group wangwu inIOU2(config-if)#ip access-group wangwu in IOU2(config-if)#exit

测试结果

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。