ACL的綜合應用案例

原創 楊書凡 2018-09-10 02:53

  在上一篇,介紹了ACL的原理與基本配置,舉例說明了標準ACL、擴展ACL、命名ACL的配置案例,下面介紹綜合應用ACL的案例。

  ACL的原理與基本配置的鏈接:http://yangshufan.blog.51cto.com/13004230/1958558


ACL的綜合應用

 公司內部網絡已經建成,網絡拓撲圖如下所示:

wKioL1mdWOiRLTV4AADpS0WPu9g668.png

  公司網絡內部規劃如下:

(1)根據公司現有各部門主機數量和以後增加主機的情況,爲每個部門分配一個C類地址,並且每個部門使用一個VLAN,以便以管理。

(2)分配一個C類地址作爲設備的管理地址。

  按照上述規劃配置設備,已經實現了網絡連通。


  基於信息安全方面考慮,公司要求如下:

(1)限定不同部門能訪問的服務器。例如,財務部只能訪問財務部服務器,生產部只能訪問生產部服務器。

(2)網絡管理員可以訪問所有服務器。

(3)網絡設備只允許網管區IP地址通過TELNET登陸,並配置設備用戶名爲ysf,密碼爲ysf.123

(4)只有網絡管理員才能通過遠程桌面、TELNET、SSH等登陸方式管理服務器

(5)要求所有部門之間不能互通,但都可以和網絡管理員互通

(6)公司有幾名信息安全員,要求信息安全員可以訪問服務器,但不能訪問Internet

(7)外網只能訪問特定服務器的特定服務


  由於公司網絡比較複雜,按照以下網絡規劃進行配置,如圖所示:

wKiom1mdZsmQfK2HAAEeaKbZ3bk774.png


1.配置設備,實現全網互通

(1)R1的配置信息如下:

R1(config)# int f0/0
R1(config-if)# ip add 10.0.0.2 255.0.0.0
R1(config-if)# no sh

R1(config)# int loopback 0
R1(config-if)# ip add 192.168.1.4 255.255.255.0

R1(config)# int loopback 1
R1(config-if)# ip add 123.0.1.1 255.255.0.0

R1(config)# ip route 192.168.0.0 255.255.0.0 10.0.0.1

(2)SW1的配置信息如下:

SW1(config)# vlan 2
SW1(config)# vlan 3
SW1(config)# vlan 4
SW1(config)# vlan 10

SW1(config)# int f0/1
SW1(config-if)# no sw
SW1(config-if)# ip add 10.0.0.1 255.0.0.0

SW1(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.2
SW1(config)# ip routing

SW1(config)# int r f0/23 - 24
SW1(config-if-range)# sw tr en do
SW1(config-if-range)# sw mo tr

SW1(config)# vlan 1
SW1(config-if)# ip add 192.168.1.1 255.255.255.0
SW1(config-if)# no sh

SW1(config)# vlan 2
SW1(config-if)# ip add 192.168.2.1 255.255.255.0
SW1(config-if)# no sh

SW1(config)# vlan 3
SW1(config-if)# ip add 192.168.3.1 255.255.255.0
SW1(config-if)# no sh

SW1(config)# vlan 4
SW1(config-if)# ip add 192.168.4.1 255.255.255.0
SW1(config-if)# no sh

SW1(config)# vlan 10
SW1(config-if)# ip add 192.168.10.1 255.255.255.0
SW1(config-if)# no sh

(3)SW2的配置信息如下:

SW2(config)# vlan 2
SW2(config)# vlan 3
SW2(config)# vlan 4

SW2(config)# int f0/24
SW2(config-if)# sw mo tr

SW2(config)# int vlan 1
SW2(config-if)# ip add 192.168.1.2 255.255.255.0
SW2(config-if)# no sh

SW2(config)# ip default-gateway 192.168.1.1

SW2(config)# int 0/1
SW2(config-if)# sw ac vlan 2

SW2(config)# int 0/2
SW2(config-if)# sw ac vlan 3

SW2(config)# int 0/3
SW2(config-if)# sw ac vlan 4

SW3的配置信息如下:

SW3(config)# vlan 10

SW3(config)# int f0/24
SW3(config-if)# sw mo tr

SW3(config)# int 0/1
SW3(config-if)# sw ac vlan 10

SW3(config)# int vlan 1
SW3(config-if)# ip add 192.168.1.3 255.255.255.0
SW3(config-if)# no sh

SW3(config)# ip default-gateway 192.168.1.1


2.配置ACL實現公司要求

(1)配置實現網絡設備只允許網管區IP地址通過TELNET登陸,並配置設備用戶名爲ysf,密碼爲ysf.123

R1的配置信息如下:

R1(config)# access-list 1 permit 192.168.2.0 0.0.0.255
R1(config)# username ysf password ysf.123

R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# access-class 1 in

SW1、SW2、SW3的配置信息與R1相同(略)

(2)公司其他要求配置如下:

SW1(config)# ip access-list extended fuwuqi
SW1(config-ext-nacl)# permit ip 192.168.2.0 0.0.0.255 host 192.168.10.2   //允許網管區訪問服務器
SW1(config-ext-nacl)# deny tcp 192.168.0.0 0.0.255.255 host 192.168.10.2 eq telnet
SW1(config-ext-nacl)# deny tcp 192.168.0.0 0.0.255.255 host 192.168.10.2 eq 22 
SW1(config-ext-nacl)# deny tcp 192.168.0.0 0.0.255.255 host 192.168.10.2 eq 3389   //以上四條ACL表示,除了網管區外,其他所有內網主機都不能通過訪問TELNET、SSH和遠程桌面登陸服務器

SW1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 host 192.168.10.2
SW1(config-ext-nacl)# permit tcp any host 192.168.10.2 eq 80    //以上兩條ACL表示,允許內網主機訪問服務器,允許外網主機訪問服務器的www服務
SW1(config-ext-nacl)# deny ip any any

SW1(config)# int vlan 10
SW1(config-if)# ip access-group fuwuqi out     //應用到OUT方向

SW1(config)# ip access-list extended caiwubu
SW1(config-ext-nacl)# permit ip 192.168.3.0 0.0.0.255 host 192.168.10.2
SW1(config-ext-nacl)# permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.0.255
SW1(config-ext-nacl)# deny ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.0.255.255
SW1(config-ext-nacl)# permit ip any any    //以上四條表示財務部可以訪問服務器,可以訪問網管區和外網,拒絕訪問其他部門

SW1(config)# int vlan 3
SW1(config-if)# ip access-group caiwubu in       //應用到IN方向
 
SW1(config)# ip access-list extended anquanyuan
SW1(config-ext-nacl)# permit ip 192.168.4.0 0.0.0.255 host 192.168.10.2
SW1(config-ext-nacl)# permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.0.255
SW1(config-ext-nacl)# deny ip any any      //以上三條表示安全員可以訪問服務器,可以訪問網管區,拒絕訪問其他部門,拒絕訪問外網

SW1(config)# int vlan 4
SW1(config-if)# ip access-group anquanyuan in

(3)配置完成後驗證

  使用ping命令驗證配置是否正確




發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

ACL+NAT實現PC單向訪問

hkb178149081 2019-02-23 13:53:02

銳捷三層交換3760-24與路由器RSR20-04 ACL規則

hkb178149081 2019-02-23 13:53:01

ACL

wanglm510 2019-02-23 00:33:45

ACL

王嘉旺2002 2019-02-23 00:26:09

訪問控制列表實驗

xh2651 2019-02-23 00:15:26

Packet Tracer 5.0建構CCNA實驗攻略(15)——ACL簡單的配置

橙子浪巖 2019-02-23 00:07:57

Linux權限管理:普通文件權限、特殊權限及ACL

nieda_linux 2019-02-22 23:55:08

自反ACL

小城聽雨 2019-02-22 23:38:20

Domino數據庫ACL

笨笨牛 2019-02-22 23:17:19

CISCO訪問控制列表 企業網絡管理的必殺技

wbzjacky 2019-02-24 13:12:37

磁盤陣列和訪問控制列表的相關命令

譕淚寳唄 2019-02-23 13:28:55

單臂路由實戰 配置

程張飛 2019-02-23 13:37:42

華爲設備實現VLAN和單臂路由

胡勇軍 2019-02-23 00:27:31

MPLS inter-as *** Option 2:mp-ebgp for ***v4

zuowenbin 2019-02-22 23:42:57

SNMP在企業網中的應用

jinxiang1988 2019-02-22 23:38:39