ACL的应用试验

实验目的:配置设备,实现全网互通;配置ACL实现公司要求

实验环境:如图所示

实验要求:

1实现全网互通;web、FTP服务器能正常访问;

2网络设备和服务器只能网管主机通过telnet登录;

3生产部不能访问web服务器和互联网;

4实现财务部不能访问FTP服务

5财务部和生产部不能互通,但都可以和网管互通

实验步骤

要求1:实现全网互通;web、FTP服务器能正常访问

配置SW1

SW1>en

SW1#vlan data

SW1(vlan)#vlan 2

SW1(vlan)#vlan 3

SW1(vlan)#vlan 4

SW1(vlan)#exit

SW1#conf t

Switch(config)#int f0/2

Switch(config-if)#switchport access vlan 2

Switch(config-if)#no shu

Switch(config)#int f0/3

Switch(config-if)#switchport access vlan 3

Switch(config-if)#no shu

Switch(config)#int f0/4

Switch(config-if)#switchport access vlan 4

Switch(config-if)#no shu

Switch(config)#int f0/1

Switch(config-if)#switchport mode trunk

Switch(config-if)#no shu

管理地址

Switch(config-if-range)#int vlan 1

Switch(config-if)#ip add 192.168.2.10 255.255.255.0

Switch(config-if)#no shu

配置SW2

Switch>EN

Switch#conf t

Switch(config)#vlan 100

Switch(config-vlan)#exit

Switch(config)#int f0/2

Switch(config-if)#switchport access vlan 100

Switch(config-if)#no shu

Switch(config-if)#int f0/1

Switch(config-if)#switchport mode trunk

Switch(config-if)#no shu

管理地址

Switch(config-if-range)#int vlan 1

Switch(config-if)#ip add 192.168.100.10 255.255.255.0

Switch(config-if)#no shu

配置3SW

Switch>en

Switch#conf t

Switch(config)#vlan 2

Switch(config-vlan)#vlan 3

Switch(config-vlan)#vlan 4

Switch(config-vlan)#vlan 100

Switch(config-vlan)#exit

接口模式

Switch(config)#int range f0/2 -3

Switch(config-if-range)#switchport mode trunk

Switch(config-if-range)#no shu

网关

Switch(config-if-range)#int vlan 2

Switch(config-if)#ip add 192.168.2.1 255.255.255.0

Switch(config-if)#no shu

Switch(config-if)#int vlan 3

Switch(config-if)#ip add 192.168.3.1 255.255.255.0

Switch(config-if)#no shu

Switch(config-if)#int vlan 4

Switch(config-if)#ip add 192.168.4.1 255.255.255.0

Switch(config-if)#no shu

Switch(config-if)#int vlan 100

Switch(config-if)#ip add 192.168.100.1 255.255.255.0

Switch(config-if)#no shu

外网接口地址(管理IP)

Switch(config-if)#int f0/1

Switch(config-if)#no switchport

Switch(config-if)#ip add 10.0.0.1 255.0.0.0

Switch(config-if)#no shu

Switch(config-if)#exit

Switch(config)#ip routing

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2

配置R1

Router>EN

Router#CONF T

Router(config)#INT f0/0

Router(config-if)#ip add 10.0.0.2 255.0.0.0

Router(config-if)#no shu

互联网

Router(config-if)#exit

Router(config)#int loopback 0

Router(config-if)#ip add 123.0.1.1 255.255.255.0

Router(config-if)#no shu

Router(config-if)#exit

Router(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1

配置主机地址和服务器地址后进行测试

要求2、3、4、5:

配置R1

创建ACL:只允许2.0网络,拒绝其他所有

Router(config)#access-list 1 permit 192.168.2.0 0.0.0.255

配置VTY并应用ACL

Router(config)#username benet password 123456    创建本地用户和秘密

Router(config)#line vty 0 4

Router(config-line)#login local            使用本地用户登录(允许的主机都行,包括外网)

Router(config-line)#access-class 1 in        在VTY上应用规则1在进口

Router(config-line)#exit

配置3SW、SW1、SW2,与R1相同

Switch(config)#access-list 1 permit host 192.168.2.2    (网管主机如果只有一台)

Switch(config)#username benet password 123456

Switch(config)#line vty 0 4

Switch(config-line)#login local

Switch(config-line)#access-class 1 in

以上配置实现了网络设备只能网管主机通过telnet登录

配置3SW,控制服务器访问

创建ACL100,控制vlan100

允许网管主机访问服务器

Switch(config)#access-list 100 permit ip host 192.168.2.2 host 192.168.100.2

不允许0.0网络的主机访问服务器的telnet、SSH、远程桌面登录服务

Switch(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq telnet

Switch(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 22

Switch(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 3389

不允许财务部主机访问FTP服务

Switch(config)#access-list 100 deny tcp host 192.168.3.2 host 192.168.100.2 eq 21

不允许生产部主机访问web服务

Switch(config)#access-list 100 deny tcp host 192.168.4.2 host 192.168.100.2 eq 80

允许内网主机访问服务器的其它所有服务

Switch(config)#access-list 100 permit ip 192.168.0.0 0.0.0.255 host 192.168.100.2

允许外网主机访问服务器的web服务

Switch(config)#access-list 100 permit tcp any host 192.168.100.2 eq 80

不允许其它任何主机通过vlan100互相访问,vlan100里的主机不能访问互联网

Switch(config)#access-list 100 deny ip any any

应用规则到出口(相对来说vlan100是出口)

Switch(config)#int vlan 100

Switch(config-if)#ip access-group 100 out

配置3SW,控制主机之间的访问

创建ACL101,控制vlan3

允许财务部主机访问服务器

Switch(config)#access-list 101 permit ip host 192.168.3.2 host 192.168.100.2

允许财务部主机访问网管主机

Switch(config)#access-list 101 permit ip host 192.168.3.2 host 192.168.2.2

不允许其它任何主机通过vlan3互相访问,也不能访问互联网

Switch(config)#access-list 101 deny ip any any

应用规则到进口(相对来说vlan3是进口)

Switch(config)#int vlan 3

Switch(config-if)#ip access-group 101 in

创建ACL102,控制vlan4

允许生产部主机访问服务器

Switch(config)#access-list 102 permit ip host 192.168.4.2 host 192.168.100.2

允许生产部主机访问网管主机

Switch(config)#access-list 102 permit ip host 192.168.4.2 host 192.168.2.2

不允许生产部主机访问财务部主机

Switch(config)#access-list 102 deny ip host 192.168.4.2 host 192.168.3.2

允许主机访问外网

Switch(config)#access-list 102 permit ip any any

应用到vlan4

Switch(config)#int vlan 4

Switch(config-if)#ip access-group 102 in

测试