ACL的综合应用案例

ACL的综合应用

 公司内部网络已经建成，网络拓扑图如下所示：

<a href="http://yangshufan.blog.51cto.com/13004230/1959141" target="_blank"></a>

  公司网络内部规划如下：

(1)根据公司现有各部门主机数量和以后增加主机的情况，为每个部门分配一个C类地址，并且每个部门使用一个VLAN，以便以管理。

(2)分配一个C类地址作为设备的管理地址。

  按照上述规划配置设备，已经实现了网络连通。

  基于信息安全方面考虑，公司要求如下：

（1）限定不同部门能访问的服务器。例如，财务部只能访问财务部服务器，生产部只能访问生产部服务器。

（2）网络管理员可以访问所有服务器。

（3）网络设备只允许网管区IP地址通过TELNET登陆，并配置设备用户名为ysf，密码为ysf.123

（4）只有网络管理员才能通过远程桌面、TELNET、SSH等登陆方式管理服务器

（5）要求所有部门之间不能互通，但都可以和网络管理员互通

（6）公司有几名信息安全员，要求信息安全员可以访问服务器，但不能访问Internet

（7）外网只能访问特定服务器的特定服务

  由于公司网络比较复杂，按照以下网络规划进行配置，如图所示：

1.配置设备，实现全网互通

（1）R1的配置信息如下：

1

2

3

4

5

6

7

8

9

10

11

<code>R1(config)</code><code># int f0/0</code>

<code>R1(config-</code><code>if</code><code>)</code><code># ip add 10.0.0.2 255.0.0.0</code>

<code>R1(config-</code><code>if</code><code>)</code><code># no sh</code>

<code>R1(config)</code><code># int loopback 0</code>

<code>R1(config-</code><code>if</code><code>)</code><code># ip add 192.168.1.4 255.255.255.0</code>

<code>R1(config)</code><code># int loopback 1</code>

<code>R1(config-</code><code>if</code><code>)</code><code># ip add 123.0.1.1 255.255.0.0</code>

<code>R1(config)</code><code># ip route 192.168.0.0 255.255.0.0 10.0.0.1</code>

（2）SW1的配置信息如下：

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

<code>SW1(config)</code><code># vlan 2</code>

<code>SW1(config)</code><code># vlan 3</code>

<code>SW1(config)</code><code># vlan 4</code>

<code>SW1(config)</code><code># vlan 10</code>

<code>SW1(config)</code><code># int f0/1</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># no sw</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip add 10.0.0.1 255.0.0.0</code>

<code>SW1(config)</code><code># ip route 0.0.0.0 0.0.0.0 10.0.0.2</code>

<code>SW1(config)</code><code># ip routing</code>

<code>SW1(config)</code><code># int r f0/23 - 24</code>

<code>SW1(config-</code><code>if</code><code>-range)</code><code># sw tr en do</code>

<code>SW1(config-</code><code>if</code><code>-range)</code><code># sw mo tr</code>

<code>SW1(config)</code><code># vlan 1</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip add 192.168.1.1 255.255.255.0</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># no sh</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip add 192.168.2.1 255.255.255.0</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip add 192.168.3.1 255.255.255.0</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip add 192.168.4.1 255.255.255.0</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip add 192.168.10.1 255.255.255.0</code>

（3）SW2的配置信息如下：

<code>SW2(config)</code><code># vlan 2</code>

<code>SW2(config)</code><code># vlan 3</code>

<code>SW2(config)</code><code># vlan 4</code>

<code>SW2(config)</code><code># int f0/24</code>

<code>SW2(config-</code><code>if</code><code>)</code><code># sw mo tr</code>

<code>SW2(config)</code><code># int vlan 1</code>

<code>SW2(config-</code><code>if</code><code>)</code><code># ip add 192.168.1.2 255.255.255.0</code>

<code>SW2(config-</code><code>if</code><code>)</code><code># no sh</code>

<code>SW2(config)</code><code># ip default-gateway 192.168.1.1</code>

<code>SW2(config)</code><code># int 0/1</code>

<code>SW2(config-</code><code>if</code><code>)</code><code># sw ac vlan 2</code>

<code>SW2(config)</code><code># int 0/2</code>

<code>SW2(config-</code><code>if</code><code>)</code><code># sw ac vlan 3</code>

<code>SW2(config)</code><code># int 0/3</code>

<code>SW2(config-</code><code>if</code><code>)</code><code># sw ac vlan 4</code>

SW3的配置信息如下：

<code>SW3(config)</code><code># vlan 10</code>

<code>SW3(config)</code><code># int f0/24</code>

<code>SW3(config-</code><code>if</code><code>)</code><code># sw mo tr</code>

<code>SW3(config)</code><code># int 0/1</code>

<code>SW3(config-</code><code>if</code><code>)</code><code># sw ac vlan 10</code>

<code>SW3(config)</code><code># int vlan 1</code>

<code>SW3(config-</code><code>if</code><code>)</code><code># ip add 192.168.1.3 255.255.255.0</code>

<code>SW3(config-</code><code>if</code><code>)</code><code># no sh</code>

<code>SW3(config)</code><code># ip default-gateway 192.168.1.1</code>

2.配置ACL实现公司要求

（1）配置实现网络设备只允许网管区IP地址通过TELNET登陆，并配置设备用户名为ysf，密码为ysf.123

R1的配置信息如下：

<code>R1(config)</code><code># access-list 1 permit 192.168.2.0 0.0.0.255</code>

<code>R1(config)</code><code># username ysf password ysf.123</code>

<code>R1(config)</code><code># line vty 0 4</code>

<code>R1(config-line)</code><code># login local</code>

<code>R1(config-line)</code><code># access-class 1 in</code>

<code>SW1、SW2、SW3的配置信息与R1相同（略）</code>

（2）公司其他要求配置如下：

<code>SW1(config)</code><code># ip access-list extended fuwuqi</code>

<code>SW1(config-ext-nacl)</code><code># permit ip 192.168.2.0 0.0.0.255 host 192.168.10.2   //允许网管区访问服务器</code>

<code>SW1(config-ext-nacl)</code><code># deny tcp 192.168.0.0 0.0.255.255 host 192.168.10.2 eq telnet</code>

<code>SW1(config-ext-nacl)</code><code># deny tcp 192.168.0.0 0.0.255.255 host 192.168.10.2 eq 22 </code>

<code>SW1(config-ext-nacl)</code><code># deny tcp 192.168.0.0 0.0.255.255 host 192.168.10.2 eq 3389   //以上四条ACL表示，除了网管区外，其他所有内网主机都不能通过访问TELNET、SSH和远程桌面登陆服务器</code>

<code>SW1(config-ext-nacl)</code><code># permit ip 192.168.0.0 0.0.255.255 host 192.168.10.2</code>

<code>SW1(config-ext-nacl)</code><code># permit tcp any host 192.168.10.2 eq 80    //以上两条ACL表示，允许内网主机访问服务器，允许外网主机访问服务器的www服务</code>

<code>SW1(config-ext-nacl)</code><code># deny ip any any</code>

<code>SW1(config)</code><code># int vlan 10</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip access-group fuwuqi out     //应用到OUT方向</code>

<code>SW1(config)</code><code># ip access-list extended caiwubu</code>

<code>SW1(config-ext-nacl)</code><code># permit ip 192.168.3.0 0.0.0.255 host 192.168.10.2</code>

<code>SW1(config-ext-nacl)</code><code># permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.0.255</code>

<code>SW1(config-ext-nacl)</code><code># deny ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.0.255.255</code>

<code>SW1(config-ext-nacl)</code><code># permit ip any any    //以上四条表示财务部可以访问服务器，可以访问网管区和外网，拒绝访问其他部门</code>

<code>SW1(config)</code><code># int vlan 3</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip access-group caiwubu in       //应用到IN方向</code>

<code> </code> 

<code>SW1(config)</code><code># ip access-list extended anquanyuan</code>

<code>SW1(config-ext-nacl)</code><code># permit ip 192.168.4.0 0.0.0.255 host 192.168.10.2</code>

<code>SW1(config-ext-nacl)</code><code># permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.0.255</code>

<code>SW1(config-ext-nacl)</code><code># deny ip any any      //以上三条表示安全员可以访问服务器，可以访问网管区，拒绝访问其他部门，拒绝访问外网</code>

<code>SW1(config)</code><code># int vlan 4</code>

<code>SW1(config-</code><code>if</code><code>)</code><code># ip access-group anquanyuan in</code>

（3）配置完成后验证

  使用ping命令验证配置是否正确

本文转自 杨书凡 51CTO博客，原文链接：http://blog.51cto.com/yangshufan/1959141，如需转载请自行联系原作者