ACL的综合应用案例

在上一篇，介绍了ACL的原理与基本配置，举例说明了标准ACL、扩展ACL、命名ACL的配置案例，下面介绍综合应用ACL的案例。

ACL的原理与基本配置的链接：http://yangshufan.blog.51cto.com/13004230/1958558

ACL的综合应用

公司内部网络已经建成，网络拓扑图如下所示：

公司网络内部规划如下：

(1)根据公司现有各部门主机数量和以后增加主机的情况，为每个部门分配一个C类地址，并且每个部门使用一个VLAN，以便以管理。

(2)分配一个C类地址作为设备的管理地址。

按照上述规划配置设备，已经实现了网络连通。

基于信息安全方面考虑，公司要求如下：

（1）限定不同部门能访问的服务器。例如，财务部只能访问财务部服务器，生产部只能访问生产部服务器。

（2）网络管理员可以访问所有服务器。

（3）网络设备只允许网管区IP地址通过TELNET登陆，并配置设备用户名为ysf，密码为ysf.123

（4）只有网络管理员才能通过远程桌面、TELNET、SSH等登陆方式管理服务器

（5）要求所有部门之间不能互通，但都可以和网络管理员互通

（6）公司有几名信息安全员，要求信息安全员可以访问服务器，但不能访问Internet

（7）外网只能访问特定服务器的特定服务

由于公司网络比较复杂，按照以下网络规划进行配置，如图所示：

1.配置设备，实现全网互通

（1）R1的配置信息如下：

R1(config)# int f0/0
R1(config-if)# ip add 10.0.0.2 255.0.0.0
R1(config-if)# no sh

R1(config)# int loopback 0
R1(config-if)# ip add 192.168.1.4 255.255.255.0

R1(config)# int loopback 1
R1(config-if)# ip add 123.0.1.1 255.255.0.0

R1(config)# ip route 192.168.0.0 255.255.0.0 10.0.0.1

（2）SW1的配置信息如下：

SW1(config)# vlan 2
SW1(config)# vlan 3
SW1(config)# vlan 4
SW1(config)# vlan 10

SW1(config)# int f0/1
SW1(config-if)# no sw
SW1(config-if)# ip add 10.0.0.1 255.0.0.0

SW1(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.2
SW1(config)# ip routing

SW1(config)# int r f0/23 - 24
SW1(config-if-range)# sw tr en do
SW1(config-if-range)# sw mo tr

SW1(config)# vlan 1
SW1(config-if)# ip add 192.168.1.1 255.255.255.0
SW1(config-if)# no sh

SW1(config)# vlan 2
SW1(config-if)# ip add 192.168.2.1 255.255.255.0
SW1(config-if)# no sh

SW1(config)# vlan 3
SW1(config-if)# ip add 192.168.3.1 255.255.255.0
SW1(config-if)# no sh

SW1(config)# vlan 4
SW1(config-if)# ip add 192.168.4.1 255.255.255.0
SW1(config-if)# no sh

SW1(config)# vlan 10
SW1(config-if)# ip add 192.168.10.1 255.255.255.0
SW1(config-if)# no sh

（3）SW2的配置信息如下：

SW2(config)# vlan 2
SW2(config)# vlan 3
SW2(config)# vlan 4

SW2(config)# int f0/24
SW2(config-if)# sw mo tr

SW2(config)# int vlan 1
SW2(config-if)# ip add 192.168.1.2 255.255.255.0
SW2(config-if)# no sh

SW2(config)# ip default-gateway 192.168.1.1

SW2(config)# int 0/1
SW2(config-if)# sw ac vlan 2

SW2(config)# int 0/2
SW2(config-if)# sw ac vlan 3

SW2(config)# int 0/3
SW2(config-if)# sw ac vlan 4

SW3的配置信息如下：

SW3(config)# vlan 10

SW3(config)# int f0/24
SW3(config-if)# sw mo tr

SW3(config)# int 0/1
SW3(config-if)# sw ac vlan 10

SW3(config)# int vlan 1
SW3(config-if)# ip add 192.168.1.3 255.255.255.0
SW3(config-if)# no sh

SW3(config)# ip default-gateway 192.168.1.1

2.配置ACL实现公司要求

（1）配置实现网络设备只允许网管区IP地址通过TELNET登陆，并配置设备用户名为ysf，密码为ysf.123

R1的配置信息如下：

R1(config)# access-list 1 permit 192.168.2.0 0.0.0.255
R1(config)# username ysf password ysf.123

R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# access-class 1 in

SW1、SW2、SW3的配置信息与R1相同（略）

（2）公司其他要求配置如下：

SW1(config)# ip access-list extended fuwuqi
SW1(config-ext-nacl)# permit ip 192.168.2.0 0.0.0.255 host 192.168.10.2   //允许网管区访问服务器
SW1(config-ext-nacl)# deny tcp 192.168.0.0 0.0.255.255 host 192.168.10.2 eq telnet
SW1(config-ext-nacl)# deny tcp 192.168.0.0 0.0.255.255 host 192.168.10.2 eq 22 
SW1(config-ext-nacl)# deny tcp 192.168.0.0 0.0.255.255 host 192.168.10.2 eq 3389   //以上四条ACL表示，除了网管区外，其他所有内网主机都不能通过访问TELNET、SSH和远程桌面登陆服务器

SW1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 host 192.168.10.2
SW1(config-ext-nacl)# permit tcp any host 192.168.10.2 eq 80    //以上两条ACL表示，允许内网主机访问服务器，允许外网主机访问服务器的www服务
SW1(config-ext-nacl)# deny ip any any

SW1(config)# int vlan 10
SW1(config-if)# ip access-group fuwuqi out     //应用到OUT方向

SW1(config)# ip access-list extended caiwubu
SW1(config-ext-nacl)# permit ip 192.168.3.0 0.0.0.255 host 192.168.10.2
SW1(config-ext-nacl)# permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.0.255
SW1(config-ext-nacl)# deny ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.0.255.255
SW1(config-ext-nacl)# permit ip any any    //以上四条表示财务部可以访问服务器，可以访问网管区和外网，拒绝访问其他部门

SW1(config)# int vlan 3
SW1(config-if)# ip access-group caiwubu in       //应用到IN方向
 
SW1(config)# ip access-list extended anquanyuan
SW1(config-ext-nacl)# permit ip 192.168.4.0 0.0.0.255 host 192.168.10.2
SW1(config-ext-nacl)# permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.0.255
SW1(config-ext-nacl)# deny ip any any      //以上三条表示安全员可以访问服务器，可以访问网管区，拒绝访问其他部门，拒绝访问外网

SW1(config)# int vlan 4
SW1(config-if)# ip access-group anquanyuan in

（3）配置完成后验证

使用ping命令验证配置是否正确

时间： 2024-10-19 10:42:57

ACL的综合应用案例的相关文章

VTP,STP,HSRP,ACL,DHCP,综合实验

实验拓扑图: 步骤: 一,为PC机配置IP地址服务器: C2: C1: 二,SW1和SW2做VTP服务模式,SW3和SW4做VTP的客户模式 SW1: SW2: SW3: SW4: 三,根据实验要求VLAN10的流量走SW1,VLAN20的流量走SW2,所以把SW1配置为VLAN10的根网桥,把SW2配置为VLAN20的根网桥,根据命令"tracert"跟踪路由查看 SW1: SW2: 跟踪VLAN10的流量: 跟踪VLAN20的流量: 以上显示VLAN10的流量走的是SW1的vl

angular js 综合笔记案例

AngularJS 表达式 (1.{{}} 2.ng-bind(单项绑定)) AngularJS 表达式写在双大括号内:{{ expression }} AngularJS 使用表达式把数据绑定到 HTML,这与 ng-bind 指令有异曲同工之妙. AngularJS 将在表达式书写的位置"输出"数据. AngularJS 表达式很像 JavaScript 表达式:它们可以包含文字.运算符和变量. 表达式{{}} 案例 ng-init 初始化数据一般会用ng-controll

Squid代理服务器综合应用案例

squid代理服务器 squid是一种用来缓存Internet数据的软件.接受来自客户机需要下载的目标的请求并适当的处理这些请求.也就是说,如果一个客户端想要打开默认网站,它请求squid为它取得这个页面.squid随之连接到远程服务器并向这个页面发出请求.然后,squid显式地聚集数据到客户端机器,而且同时复制一份.当下一次有人需要同一页面时,squid可以简单的从磁盘中读到它,那样数据会立即传输到客户机上. squid代理的作用 - 通过缓存方式为用户提供Web加速访问 - 对用户的Web访

用户授权控制、数据库远程维护、综合应用案例

案例1:授权数据库用户案例2:查看及撤销授权案例3:重置数据库管理密码案例4:远程维护数据库案例5:企业OA系统部署案例6:企业OA系统迁移 1 案例1:授权数据库用户1.1 问题本例要求掌握MariaDB数据库中用户账号的授权操作,完成下列任务: 1)为OA系统建立专库 oadb,并授权用户允许用户 runoa 从本机访问,对库 oadb 有全部权限访问密码为 [email protected] 测试用户runoa的数据库访问权限 2)新建名为tarzan的管理员允许从任何客

5、判断、循环、数组综合练习案例（迷你DVD）

迷你dvd代码如下: 1 package com.manager; 2 3 import java.util.Scanner; 4 5 public class DVDManage { 6 public static void main(String[] args) { 7 Scanner input=new Scanner(System.in); 8 9 //1.定义dvd相关数组 10 String[] name=new String[6]; //DVD名称 11 int[] state=n

07_Android操作sqllite数据库（包括2中方式操作数据的方式），单元测试，BaseAdapter的使用，自定义view的综合使用案例

?? 1 目标从sqllite中读取数据并显示如下: MainActivity对应的界面 MainActivity2对应的界面 2 配置Android的清单文件 <?xml version="1.0" encoding="utf-8"?> <manifest xmlns:android="http://schemas.android.com/apk/res/android" package="com.itheima2

39_泛型集合的综合应用案例

//Map迭代方式之一: 得到Entry,Entry实现了Iterator接口 HashMap<String,Integer> map=new HashMap<String,Integer>(); map.put("ljl", 26); map.put("ly", 21); map.put("czbk", 10); Set<Map.Entry<String,Integer>> entry

很经典的综合应用案例

DNS解析综合学习案例

#图右侧为做题前环境配置 #命令为红色 #命令加载内容为绿色 #vi编辑内容为蓝色 1.用户需把/dev/myvg/mylv逻辑卷以支持磁盘配额的方式挂载到网页目录下 [[email protected] ~]# vi /etc/fstab/dev/myvg/mylv /usr/local/httpd/htdocs/ xfs defaults,usrquota,grpquota 0 0[[email protected] ~]# mount -a 2.在网页目录下创建测试文件index.html