网络规划如下。

ACL的应用_服务器公司全部使用192. 168.0.0/16网段地址。


配置设备的网管地址。其中,IOU2为192 .168.0. 1/24. IOU3为192. 168.0.2/24. IOU4为192. 168 0. 3/24. IOU1为1.1.1.1/32。


IOU5为网络管理区主机,其IP地址为192.168.2.2/24.网关为192.168.2.1/24.属于VLAN2; IOU6为财务部主机,IP 地址为192.168.3.2/24.网关为192.168.3.1/24. 属于VLAN3:IOU7为信息安全员主机,IP地址为192.168.4. 2/24网关为192.168 . 4.1/24.属于VLAN4。


在IOU2交换机VLAN2接口的IP地址为192.168.2.1/24. VLAN 3接口的IP地址为192. 168.3.1/24. VLAN 4接口的IP地址为192. 168.4. 1/24. VLAN 100 接口的IP地址为192. 168.100.1/24。


服务器IP地址为192 168. 100.2/24. 网关为192.168 100.1/24.属于VLAN 100.


IOU2和IOU1的互联地址为10.0.0.0/30.


配置路由器 IOU1的Lopbak接口地址为123.0.1.1/24.模拟外网地址。


按照公司网络规划和要求配置设备。

在IOU1上配置ip地址和静态路由

IOU1(config)#interface ethernet 0/0

IOU1(config-if)#ip address 10.0.0.1 255.255.255.252

IOU1(config-if)#no shutdown  

IOU1(config-if)#ex

IOU1(config)#interface loopback 0

IOU1(config-if)#ip address 123.0.1.1 255.255.255.0

IOU1(config-if)#no shutdown  

IOU1(config-if)#ex

IOU1(config)#ip route 192.168.0.0 255.255.0.0  

IOU1(config)#interface loopback 1

IOU1(config-if)#ip address 1.1.1.1 255.255.255.255

IOU1(config-if)#no shutdown 

在IOU2上面创建vlan配置ip地址

IOU2(config)#vlan 2

IOU2(config-vlan)#vlan 3

IOU2(config-vlan)#vlan 4

IOU2(config-vlan)#vlan 100

IOU2(config-vlan)#ex

IOU2(config)#interface ethernet 0/2

IOU2(config-if)#no switchport  

IOU2(config-if)#ip address 10.0.0.2 255.255.255.252

IOU2(config-if)#ex

IOU2(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1

IOU2(config)#interface range ethernet 0/0-1

IOU2(config-if-range)#switchport trunk encapsulation dot1q  

IOU2(config-if-range)#switchport mode trunk  

IOU2(config-if-range)#ex

IOU2(config)#interface vlan 2

IOU2(config-if)#ip address 192.168.2.1 255.255.255.0

IOU2(config-if)#no shutdown  

IOU2(config-if)#ex

IOU2(config)#interface vlan 3

IOU2(config-if)#ip address 192.168.3.1 255.255.255.0

IOU2(config-if)#no shutdown  

IOU2(config-if)#ex

IOU2(config)#interface vlan 4

IOU2(config-if)#ip address 192.168.4.1 255.255.255.0

IOU2(config-if)#no shutdown  

IOU2(config-if)#ex

IOU2(config)#interfa

IOU2(config)#interface vlan 100

IOU2(config-if)#ip address 192.168.100.1 255.255.255.0

IOU2(config-if)#no shutdown  

IOU2(config-if)#ex

IOU2(config)#ip routing

IOU2(config)#interface vlan 1

IOU2(config-if)#ip address 192.168.0.1 255.255.255.0

IOU2(config-if)#no shutdown 

创建vlan将vlan加入到接口

IOU3(config)#vlan 2  

IOU3(config-vlan)#vlan 3

IOU3(config-vlan)#vlan 4

IOU3(config)#ex

IOU3(config)#interface ethernet 0/0

IOU3(config-if)#switchport trunk encapsulation dot1q  

IOU3(config-if)#switchport mode trunk  

IOU3(config-if)#ex

IOU3(config)#interface ethernet 0/1

IOU3(config-if)#switchport mode access  

IOU3(config-if)#switchport access vlan 2

IOU3(config-if)#ex

IOU3(config)#interface ethernet 0/2

IOU3(config-if)#switchport mode access  

IOU3(config-if)#switchport access vlan 3

IOU3(config-if)#exit  

IOU3(config)#interface ethernet 0/3

IOU3(config-if)#switchport mode access  

IOU3(config-if)#switchport access vlan 4

IOU3(config-if)#ex

IOU3(config)#interface vlan 1

IOU3(config-if)#ip address 192.168.0.2 255.255.255.0

IOU3(config-if)#no shutdown  

IOU3(config-if)#ex

IOU3(config)#ip default-gateway 192.168.0.1

创建vlan100加入接口配置ip地址

IOU4(config)#vlan 100            

IOU4(config-vlan)#ex

IOU4(config)#interface ethernet 0/0

IOU4(config-if)#switchport trunk encapsulation dot1q  

IOU4(config-if)#switchport mode trunk  

IOU4(config-if)#ex

IOU4(config)#interface ethernet 0/1

IOU4(config-if)#switchport mode access  

IOU4(config-if)#switchport access vlan 100

IOU4(config-if)#ex  

IOU4(config)#interface vlan 1

IOU4(config-if)#ip address 192.168.0.3 255.255.255.0

IOU4(config-if)#no shutdown  

IOU4(config-if)#ex

IOU4(config)#ip default-gateway 192.168.0.1

配置ACL实现公司要求

配置ACL实现网络设备只允许网管区IP地址可以通过TEKNET登录,并配置设备用户名为benet密码为test

IOU1(config)#access-list 1 permit 192.168.2.0 0.0.0.255

IOU1(config)#username benet password test

IOU1(config)#line vty 0 4

IOU1(config-line)#login local  

IOU1(config-line)#access-class 1 in

IOU1(config-line)#exit

IOU2,IOU3,IOU4和IOU1配置相同

公司其他要求的配置命令如下

ACL 100 表示内网主机都可以访问服务器,但是只有网络管理员才能通过telnet,ssh和远程桌面登录服务器,外网只能访问服务器的80端口

IOU2(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 host 192.168.100.2

上述一条ACL表示允许网络管理员网段192.168.2.0 /24访问服务器

IOU2(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq telnet  

IOU2(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 22  

IOU2(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 3389

上述四条ACL表示除192.168.2.0 /24 网段外其他所有内网地址均不能通过telnet,ssh和远程桌面登录服务

IOU2(config)#access-list 100 permit ip 192.168.0.0 0.0.255.255 host 192.168.100.2      

IOU2(config)#access-list 100 permit tcp any host 192.168.100.2 eq 80

上述两条ACL表示允许内网主机访问服务器,允许对外网主机访问服务器的80端口

IOU2(config)#access-list 100 deny ip any any  

IOU2(config)#interface vlan 100

IOU2(config-if)#ip access-group 100 out               //应用到out方向

IOU2(config-if)#exit

ACL 101 表示192.168.3.0 /24 网段主机可以访问服务器,可以访问网络管理员网段,但不能访问其他部门网段,也不能访问外网

IOU2(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 host 192.168.100.2

IOU2(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

IOU2(config)#access-list 101 deny ip any any

IOU2(config)#interface vlan 3

IOU2(config-if)#ip access-group 101 in              //应用到in方向

IOU2(config)#exit

ACL102 表示192.168.4.0 /24 网段主机可以访问服务器,可以访问网络管理员网段,但不能访问其他部门网段可以访问外网(这里用于测试目的)

IOU2(config)#access-list 102 permit ip 192.168.4.0 0.0.0.255 host 192.168.100.2

IOU2(config)#access-list 102 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255

IOU2(config)#access-list 102 deny ip 192.168.4.0 0.0.0.255 192.168.0.0 0.0.255.255

IOU2(config)#access-list 102 permit ip any any 

IOU2(config)#interface vlan 4

IOU2(config-if)#ip access-group 102 in 

IOU2(config-if)#ex

使用ping命令查看是否通

ACL的应用_ip地址_02