ACL应用实例

原创

IT黑美人 2022-05-06 13:32:23 ©著作权

文章标签 信息安全 4s 服务器 文章分类 网络安全

©著作权归作者所有：来自51CTO博客作者IT黑美人的原创作品，请联系作者获取转载授权，否则将追究法律责任

ACL应用实例_4s

公司内部网络规划如下。

根据公司现有各部门主机数量和以后增加主机的情况，为每个部门分配一个c类地址，并且每个部门使用一个vlan，以便于管理。

分配一个c类的地址作为设备的管理地址。

安装上述规划配置设备，已经实现了网络联通。基于信息安全方面考虑，公司要求如下。

网络设备只允许网管区ip地址通过telnet登录，并配置设备用户名为chengjie，密码为123456。

只有网络管理员才能通过远程桌面、telnet、ssh等登录方式管理服务器。

要求所有部门之间不能互通，但都可以和网络管理员互通。

公司中有几名信息安全员，公司要求信息安全员可以访问服务器，但不能访问lnternet。

ip地址规划如下：

R1	et0/0:10.0.0.1/32
	loop0:123.0.1.1/24
	loop1:1.1.1/32
sw1	vlan1:192.168.0.1/24
	vlan 2:192.168.2.254/24
	vlan 3:192.168.3.254/24
	vlan 4:192.168.4.254/24
	vlan 100:192.168.100.254/24
pc1网络管理区	192.168.2.2/24	网关：192.168.2.254/24
pc2财务部	192.168.3.2/24	网关：192.168.3.254/24
pc3安全员	192.168.4.2/24	网关：192.168.4.254/24
server服务器	192.168.100.2/24	网关：192.168.100.254/24

1.配置设备，实现全网互通

R1的配置信息如下

R1(config)#interface ethernet 0/0
R1(config-if)#ip address 10.0.0.1 255.255.255.252
R1(config-if)#no shutdown 
R1(config-if)#exit
R1(config)#interface loopback 0
R1(config-if)#ip address 123.0.1.1 255.255.255.0
R1(config-if)#exit
R1(config)#interface loopback 1
R1(config-if)#ip address 1.1.1.1 255.255.255.255
R1(config-if)#exit
1(config)#ip route 192.168.0.0 255.255.0.0 10.0.0.2

sw1的配置信息如下

SW1(config)#interface ethernet 0/0
SW1(config-if)#ip address 10.0.0.2 255.255.255.252
SW1(config-if)#no shutdown 
SW1(config-if)#exit
SW1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1
SW1(config)#interface range ethernet 0/1-2
SW1(config-if-range)#switchport trunk encapsulation d
SW1(config-if-range)#switchport trunk encapsulation dot1q 
SW1(config-if-range)#switchport mode trunk 
SW1(config-if-range)#exit
SW1(config)#vlan 2-4,100
SW1(config-vlan)#exit
SW1(config)#interface vlan 1
SW1(config-if)#ip address 192.168.0.1 255.255.255.0
SW1(config-if)#no shutdown 
SW1(config-if)#exit
SW1(config)#interface vlan 2
SW1(config-if)#ip address 192.168.2.254 255.255.255.0
SW1(config-if)#no shutdown 
SW1(config-if)#exit
SW1(config)#interface vlan 3
SW1(config-if)#ip address 192.168.3.254 255.255.255.0
SW1(config-if)#no shutdown 
SW1(config-if)#exit
SW1(config)#interface vlan 4
SW1(config-if)#ip address 192.168.4.254 255.255.255.0
SW1(config-if)#no shutdown 
SW1(config-if)#exit
SW1(config)#interface vlan 100
SW1(config-if)#ip address 192.168.100.254 255.255.255.0
SW1(config-if)#no shutdown 
SW1(config-if)#exit

sw2的配置信息如下

SW2(config)#vlan 2-4
SW2(config-vlan)#exit
SW2(config)#interface ethernet 0/0
SW2(config-if)#switchport trunk encapsulation d
SW2(config-if)#switchport trunk encapsulation dot1q 
SW2(config-if)#switchport mode trunk 
SW2(config-if)#exit
SW2(config)#interface ethernet 0/1
SW2(config-if)#switchport mode access 
SW2(config-if)#switchport access vlan 2
SW2(config)#interface ethernet 0/2
SW2(config-if)#switchport mode access 
SW2(config-if)#switchport access vlan 3
SW2(config)#interface ethernet 0/3
SW2(config-if)#switchport mode access 
SW2(config-if)#switchport access vlan 4
SW2(config-if)#exit
SW2(config)#interface vlan 1
SW2(config-if)#ip address 192.168.0.2 255.255.255.0
SW2(config-if)#no shutdown 
SW2(config-if)#exit
SW2(config)#ip default-gateway 192.168.0.1

SW3的配置信息如下

SW3(config)#interface ethernet 0/0
SW3(config-if)#switchport trunk encapsulation dot1q 
SW3(config-if)#switchport mode trunk 
SW3(config-if)#exit
SW3(config)#interface vlan 1
SW3(config-if)#ip address 192.168.0.3 255.255.255.0
SW3(config-if)#no shutdown 
SW3(config-if)#exit
SW3(config)#interface ethernet 0/1
SW3(config-if)#switchport access vlan 100
SW3(config-if)#exit
SW3(config)#ip default-gateway 192.168.0.1

2.配置ACL实现公司要求

网络设备只允许网管区ip地址通过telnet登录，并配置设备用户名为chengjie，密码为123456。

在R1上配置

R1(config)#access-list 2 permit 192.168.2.0 0.0.0.255
R1(config)#username chengjie privilege 15 password 123456
R1(config)#line vty 0 4
R1(config-line)#login local 
R1(config-line)#transport input telnet 
R1(config-line)#exit

然后使用pc1、pc2、pc3telnet R1

ACL应用实例_4s_02

ACL应用实例_4s_03

ACL应用实例_信息安全_04

发现pc1、pc2、pc3都可以telnet过去，而要求是只允许网络管理区telnet。

在R1上配置

R1(config)#line vty 0 4
R1(config-line)#access-class 2 in 
R1(config-line)#exit

ACL应用实例_4s_05

ACL应用实例_4s_06

发现pc2、pc3都登录不上去了而pc1可以登录上去

ACL应用实例_4s_07

公司其他要求的配置命令如下

只有网络管理员才能通过远程桌面、telnet、ssh等登录方式管理服务器

SW1(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 host 192.168.100.2
SW1(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq telnet 
SW1(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 22
SW1(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 3389
SW1(config)#access-list 100 permit ip 192.168.0.0 0.0.255.255 host 192.168.100.2
SW1(config)#access-list 100 permit tcp any host 192.168.100.2 eq 80
SW1(config)#access-list 100 deny ip any any
SW1(config)#interface vlan 100 
SW1(config-if)#ip access-group 100 out
SW1(config-if)#exit

要求所有部门之间不能互通，但都可以和网络管理员互通

SW1(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 host 192.168.100.2 
SW1(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
SW1(config)#access-list 101 deny ip any any 
SW1(config)#interface vlan 3
SW1(config-if)#ip access-group 101 in 
SW1(config-if)#exit

公司中有几名信息安全员，公司要求信息安全员可以访问服务器，但不能访问lnternet

SW1(config)#access-list 102 permit ip 192.168.4.0 0.0.0.255 host 192.168.100.2
SW1(config)#access-list 102 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
SW1(config)#access-list 102 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
SW1(config)#access-list 102 permit ip any any 
SW1(config)#interface vlan 4
SW1(config-if)#ip access-group 102 in
SW1(config-if)#exit

最后ping测试

ACL应用实例_信息安全_08