ACL应用实例(应用acl命令)

网友投稿 349 2022-09-18


ACL应用实例(应用acl命令)

公司内部网络规划如下。

根据公司现有各部门主机数量和以后增加主机的情况,为每个部门分配一个c类地址,并且每个部门使用一个vlan,以便于管理。

分配一个c类的地址作为设备的管理地址。

安装上述规划配置设备,已经实现了网络联通。基于信息安全方面考虑,公司要求如下。

网络设备只允许网管区ip地址通过telnet登录,并配置设备用户名为chengjie,密码为123456。

只有网络管理员才能通过远程桌面、telnet、ssh等登录方式管理服务器。

要求所有部门之间不能互通,但都可以和网络管理员互通。

公司中有几名信息安全员,公司要求信息安全员可以访问服务器,但不能访问lnternet。

ip地址规划如下:

R1

et0/0:10.0.0.1/32


loop0:123.0.1.1/24


loop1:1.1.1/32



sw1

vlan1:192.168.0.1/24


vlan 2:192.168.2.254/24


vlan 3:192.168.3.254/24


vlan 4:192.168.4.254/24


vlan 100:192.168.100.254/24


pc1网络管理区

192.168.2.2/24

网关:192.168.2.254/24

pc2财务部

192.168.3.2/24

网关:192.168.3.254/24

pc3安全员

192.168.4.2/24

网关:192.168.4.254/24

server服务器

192.168.100.2/24

网关:192.168.100.254/24

1.配置设备,实现全网互通

R1的配置信息如下

R1(config)#interface ethernet 0/0R1(config-if)#ip address 10.0.0.1 255.255.255.252R1(config-if)#no shutdown R1(config-if)#exitR1(config)#interface loopback 0R1(config-if)#ip address 123.0.1.1 255.255.255.0R1(config-if)#exitR1(config)#interface loopback 1R1(config-if)#ip address 1.1.1.1 255.255.255.255R1(config-if)#exit1(config)#ip route 192.168.0.0 255.255.0.0 10.0.0.2

sw1的配置信息如下

SW1(config)#interface ethernet 0/0SW1(config-if)#ip address 10.0.0.2 255.255.255.252SW1(config-if)#no shutdown SW1(config-if)#exitSW1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1(config)#interface range ethernet 0/1-2SW1(config-if-range)#switchport trunk encapsulation dSW1(config-if-range)#switchport trunk encapsulation dot1q SW1(config-if-range)#switchport mode trunk SW1(config-if-range)#exitSW1(config)#vlan 2-4,100SW1(config-vlan)#exitSW1(config)#interface vlan 1SW1(config-if)#ip address 192.168.0.1 255.255.255.0SW1(config-if)#no shutdown SW1(config-if)#exitSW1(config)#interface vlan 2SW1(config-if)#ip address 192.168.2.254 255.255.255.0SW1(config-if)#no shutdown SW1(config-if)#exitSW1(config)#interface vlan 3SW1(config-if)#ip address 192.168.3.254 255.255.255.0SW1(config-if)#no shutdown SW1(config-if)#exitSW1(config)#interface vlan 4SW1(config-if)#ip address 192.168.4.254 255.255.255.0SW1(config-if)#no shutdown SW1(config-if)#exitSW1(config)#interface vlan 100SW1(config-if)#ip address 192.168.100.254 255.255.255.0SW1(config-if)#no shutdown SW1(config-if)#exit

sw2的配置信息如下

SW2(config)#vlan 2-4SW2(config-vlan)#exitSW2(config)#interface ethernet 0/0SW2(config-if)#switchport trunk encapsulation dSW2(config-if)#switchport trunk encapsulation dot1q SW2(config-if)#switchport mode trunk SW2(config-if)#exitSW2(config)#interface ethernet 0/1SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 2SW2(config)#interface ethernet 0/2SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 3SW2(config)#interface ethernet 0/3SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 4SW2(config-if)#exitSW2(config)#interface vlan 1SW2(config-if)#ip address 192.168.0.2 255.255.255.0SW2(config-if)#no shutdown SW2(config-if)#exitSW2(config)#ip default-gateway 192.168.0.1

SW3的配置信息如下

SW3(config)#interface ethernet 0/0SW3(config-if)#switchport trunk encapsulation dot1q SW3(config-if)#switchport mode trunk SW3(config-if)#exitSW3(config)#interface vlan 1SW3(config-if)#ip address 192.168.0.3 255.255.255.0SW3(config-if)#no shutdown SW3(config-if)#exitSW3(config)#interface ethernet 0/1SW3(config-if)#switchport access vlan 100SW3(config-if)#exitSW3(config)#ip default-gateway 192.168.0.1

2.配置ACL实现公司要求

网络设备只允许网管区ip地址通过telnet登录,并配置设备用户名为chengjie,密码为123456。

在R1上配置

R1(config)#access-list 2 permit 192.168.2.0 0.0.0.255R1(config)#username chengjie privilege 15 password 123456R1(config)#line vty 0 4R1(config-line)#login local R1(config-line)#transport input telnet R1(config-line)#exit

然后使用pc1、pc2、pc3telnet R1

发现pc1、pc2、pc3都可以telnet过去,而要求是只允许网络管理区telnet。

在R1上配置

R1(config)#line vty 0 4R1(config-line)#access-class 2 in R1(config-line)#exit

发现pc2、pc3都登录不上去了而pc1可以登录上去

公司其他要求的配置命令如下​

只有网络管理员才能通过远程桌面、telnet、ssh等登录方式管理服务器

SW1(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 host 192.168.100.2SW1(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq telnet SW1(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 22SW1(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 3389SW1(config)#access-list 100 permit ip 192.168.0.0 0.0.255.255 host 192.168.100.2SW1(config)#access-list 100 permit tcp any host 192.168.100.2 eq 80SW1(config)#access-list 100 deny ip any anySW1(config)#interface vlan 100 SW1(config-if)#ip access-group 100 outSW1(config-if)#exit

要求所有部门之间不能互通,但都可以和网络管理员互通

SW1(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 host 192.168.100.2 SW1(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255SW1(config)#access-list 101 deny ip any any SW1(config)#interface vlan 3SW1(config-if)#ip access-group 101 in SW1(config-if)#exit

公司中有几名信息安全员,公司要求信息安全员可以访问服务器,但不能访问lnternet

SW1(config)#access-list 102 permit ip 192.168.4.0 0.0.0.255 host 192.168.100.2SW1(config)#access-list 102 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255SW1(config)#access-list 102 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255SW1(config)#access-list 102 permit ip any any SW1(config)#interface vlan 4SW1(config-if)#ip access-group 102 inSW1(config-if)#exit

最后ping测试

不同部门之间不能互通,但是可以和管理员互通


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

标签:安全 配置
上一篇:华为设备配置PIM-SM命令(华为交换机配置)
下一篇:使用mstp+vrrp+静态路由+子网划分+DHCP实验案例
相关文章

 发表评论

暂时没有评论,来抢沙发吧~