- 要求:
配置全网通
配置扩展ACL 实现
只允许网管区 2.0 网段通过telnet 登录 设备 用户名为benet 密码为 test
只有网络管理员才能访问远程桌面 telnet ssh 登录 服务器
要求所有部门之间不能互通 但可以和网络管理员互通
公司信息安全员 可以访问服务器但不能 访问internet
外网只能访问特定服务器的特定服务
要求:
配置全网通
配置扩展ACL 实现
只允许网管区 2.0 网段通过telnet 登录 设备 用户名为benet 密码为 test
Switch(config)#access-list 1 permit 192.168.2.0 0.0.0.255
Switch(config)#username benet password test
Switch(config)#line vty 0 4
Switch(config-line)#login local
Switch(config-line)#access-class 1 in
Switch(config-line)#exit
只有网络管理员才能访问远程桌面 telnet ssh 登录 服务器
外网只能访问特定服务器的特定服务
access-list 100 permit ip 192.168.2.0 0.0.0.255 host 192.168.100.2
access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 3389
access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 23
access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 22
access-list 100 permit ip 192.168.0.0 0.0.255.255 host 192.168.100.2
access-list 100 permit tcp any host 192.168.100.2 eq 80
将 acl 100 应用到 vlan 100 的出口
int vlan 100
ip access-group 100 out
要求所有部门之间不能互通 但可以和网络管理员互通
access-list 101 permit ip 192.168.3.0 0.0.0.255 host 192.168.3.1
access-list 101 permit ip 192.168.3.0 0.0.0.255 host 192.168.100.2
access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip any any
将 acl 101 应用到 vlan 3 的入口
int vlan 3
ip access-group 101 in
公司信息安全员 可以访问服务器但不能 访问internet
access-list 102 permit ip 192.168.4.0 0.0.0.255 host 192.168.4.1
access-list 102 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip 192.168.4.0 0.0.0.255 host 192.168.100.2
access-list 102 deny ip any any
将 acl 102 应用到 vlan 4 的入口
int vlan 4
ip access-group 102 in
讲解:
permit :允许
deny:拒绝
in:入口
out:出口
host:后面的是主机地址
ip后面的是网段地址
100:代表组号
标准:1~99
扩展:100~199
access-list 100 permit ip 192.168.2.0 0.0.0.255 host 192.168.100.2
