天天看點
傳回

ACL的綜合應用案例

ACL的綜合應用

 公司内部網絡已經建成,網絡拓撲圖如下所示:

<a href="http://yangshufan.blog.51cto.com/13004230/1959141" target="_blank"></a>

  公司網絡内部規劃如下:

(1)根據公司現有各部門主機數量和以後增加主機的情況,為每個部門配置設定一個C類位址,并且每個部門使用一個VLAN,以便以管理。

(2)配置設定一個C類位址作為裝置的管理位址。

  按照上述規劃配置裝置,已經實作了網絡連通。

  基于資訊安全方面考慮,公司要求如下:

(1)限定不同部門能通路的伺服器。例如,财務部隻能通路财務部伺服器,生産部隻能通路生産部伺服器。

(2)網絡管理者可以通路所有伺服器。

(3)網絡裝置隻允許網管區IP位址通過TELNET登陸,并配置裝置使用者名為ysf,密碼為ysf.123

(4)隻有網絡管理者才能通過遠端桌面、TELNET、SSH等登陸方式管理伺服器

(5)要求所有部門之間不能互通,但都可以和網絡管理者互通

(6)公司有幾名資訊安全員,要求資訊安全員可以通路伺服器,但不能通路Internet

(7)外網隻能通路特定伺服器的特定服務

  由于公司網絡比較複雜,按照以下網絡規劃進行配置,如圖所示:

1.配置裝置,實作全網互通

(1)R1的配置資訊如下:

1

2

3

4

5

6

7

8

9

10

11

<code>R1(config)</code><code># int f0/0</code>

<code>R1(config-</code><code>if</code><code>)</code><code># ip add 10.0.0.2 255.0.0.0</code>

<code>R1(config-</code><code>if</code><code>)</code><code># no sh</code>

<code>R1(config)</code><code># int loopback 0</code>

<code>R1(config-</code><code>if</code><code>)</code><code># ip add 192.168.1.4 255.255.255.0</code>

<code>R1(config)</code><code># int loopback 1</code>

<code>R1(config-</code><code>if</code><code>)</code><code># ip add 123.0.1.1 255.255.0.0</code>

<code>R1(config)</code><code># ip route 192.168.0.0 255.255.0.0 10.0.0.1</code>

(2)SW1的配置資訊如下:

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

<code>SW1(config)</code><code># vlan 2</code>

<code>SW1(config)</code><code># vlan 3</code>

<code>SW1(config)</code><code># vlan 4</code>

<code>SW1(config)</code><code># vlan 10</code>

<code>SW1(config)</code><code># int f0/1</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># no sw</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip add 10.0.0.1 255.0.0.0</code>

<code>SW1(config)</code><code># ip route 0.0.0.0 0.0.0.0 10.0.0.2</code>

<code>SW1(config)</code><code># ip routing</code>

<code>SW1(config)</code><code># int r f0/23 - 24</code>

<code>SW1(config-</code><code>if</code><code>-range)</code><code># sw tr en do</code>

<code>SW1(config-</code><code>if</code><code>-range)</code><code># sw mo tr</code>

<code>SW1(config)</code><code># vlan 1</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip add 192.168.1.1 255.255.255.0</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># no sh</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip add 192.168.2.1 255.255.255.0</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip add 192.168.3.1 255.255.255.0</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip add 192.168.4.1 255.255.255.0</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip add 192.168.10.1 255.255.255.0</code>

(3)SW2的配置資訊如下:

<code>SW2(config)</code><code># vlan 2</code>

<code>SW2(config)</code><code># vlan 3</code>

<code>SW2(config)</code><code># vlan 4</code>

<code>SW2(config)</code><code># int f0/24</code>

<code>SW2(config-</code><code>if</code><code>)</code><code># sw mo tr</code>

<code>SW2(config)</code><code># int vlan 1</code>

<code>SW2(config-</code><code>if</code><code>)</code><code># ip add 192.168.1.2 255.255.255.0</code>

<code>SW2(config-</code><code>if</code><code>)</code><code># no sh</code>

<code>SW2(config)</code><code># ip default-gateway 192.168.1.1</code>

<code>SW2(config)</code><code># int 0/1</code>

<code>SW2(config-</code><code>if</code><code>)</code><code># sw ac vlan 2</code>

<code>SW2(config)</code><code># int 0/2</code>

<code>SW2(config-</code><code>if</code><code>)</code><code># sw ac vlan 3</code>

<code>SW2(config)</code><code># int 0/3</code>

<code>SW2(config-</code><code>if</code><code>)</code><code># sw ac vlan 4</code>

SW3的配置資訊如下:

<code>SW3(config)</code><code># vlan 10</code>

<code>SW3(config)</code><code># int f0/24</code>

<code>SW3(config-</code><code>if</code><code>)</code><code># sw mo tr</code>

<code>SW3(config)</code><code># int 0/1</code>

<code>SW3(config-</code><code>if</code><code>)</code><code># sw ac vlan 10</code>

<code>SW3(config)</code><code># int vlan 1</code>

<code>SW3(config-</code><code>if</code><code>)</code><code># ip add 192.168.1.3 255.255.255.0</code>

<code>SW3(config-</code><code>if</code><code>)</code><code># no sh</code>

<code>SW3(config)</code><code># ip default-gateway 192.168.1.1</code>

2.配置ACL實作公司要求

(1)配置實作網絡裝置隻允許網管區IP位址通過TELNET登陸,并配置裝置使用者名為ysf,密碼為ysf.123

R1的配置資訊如下:

<code>R1(config)</code><code># access-list 1 permit 192.168.2.0 0.0.0.255</code>

<code>R1(config)</code><code># username ysf password ysf.123</code>

<code>R1(config)</code><code># line vty 0 4</code>

<code>R1(config-line)</code><code># login local</code>

<code>R1(config-line)</code><code># access-class 1 in</code>

<code>SW1、SW2、SW3的配置資訊與R1相同(略)</code>

(2)公司其他要求配置如下:

<code>SW1(config)</code><code># ip access-list extended fuwuqi</code>

<code>SW1(config-ext-nacl)</code><code># permit ip 192.168.2.0 0.0.0.255 host 192.168.10.2   //允許網管區通路伺服器</code>

<code>SW1(config-ext-nacl)</code><code># deny tcp 192.168.0.0 0.0.255.255 host 192.168.10.2 eq telnet</code>

<code>SW1(config-ext-nacl)</code><code># deny tcp 192.168.0.0 0.0.255.255 host 192.168.10.2 eq 22 </code>

<code>SW1(config-ext-nacl)</code><code># deny tcp 192.168.0.0 0.0.255.255 host 192.168.10.2 eq 3389   //以上四條ACL表示,除了網管區外,其他所有内網主機都不能通過通路TELNET、SSH和遠端桌面登陸伺服器</code>

<code>SW1(config-ext-nacl)</code><code># permit ip 192.168.0.0 0.0.255.255 host 192.168.10.2</code>

<code>SW1(config-ext-nacl)</code><code># permit tcp any host 192.168.10.2 eq 80    //以上兩條ACL表示,允許内網主機通路伺服器,允許外網主機通路伺服器的www服務</code>

<code>SW1(config-ext-nacl)</code><code># deny ip any any</code>

<code>SW1(config)</code><code># int vlan 10</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip access-group fuwuqi out     //應用到OUT方向</code>

<code>SW1(config)</code><code># ip access-list extended caiwubu</code>

<code>SW1(config-ext-nacl)</code><code># permit ip 192.168.3.0 0.0.0.255 host 192.168.10.2</code>

<code>SW1(config-ext-nacl)</code><code># permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.0.255</code>

<code>SW1(config-ext-nacl)</code><code># deny ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.0.255.255</code>

<code>SW1(config-ext-nacl)</code><code># permit ip any any    //以上四條表示财務部可以通路伺服器,可以通路網管區和外網,拒絕通路其他部門</code>

<code>SW1(config)</code><code># int vlan 3</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip access-group caiwubu in       //應用到IN方向</code>

<code> </code> 

<code>SW1(config)</code><code># ip access-list extended anquanyuan</code>

<code>SW1(config-ext-nacl)</code><code># permit ip 192.168.4.0 0.0.0.255 host 192.168.10.2</code>

<code>SW1(config-ext-nacl)</code><code># permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.0.255</code>

<code>SW1(config-ext-nacl)</code><code># deny ip any any      //以上三條表示安全員可以通路伺服器,可以通路網管區,拒絕通路其他部門,拒絕通路外網</code>

<code>SW1(config)</code><code># int vlan 4</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip access-group anquanyuan in</code>

(3)配置完成後驗證

  使用ping指令驗證配置是否正确

本文轉自 楊書凡 51CTO部落格,原文連結:http://blog.51cto.com/yangshufan/1959141,如需轉載請自行聯系原作者

shell shell處理 shell小于 使用處理shell shell打開 shell總結
上一篇: Shell 遞歸周遊檔案夾
下一篇: jsp session

繼續閱讀