访问控制列表的应用

公司网络拓扑 

公司网络建设要求 

1. 使用C类地址规划网络、每个部门使用一个VLAN
2. 为设备分配管理地址
3. 限定不同的部门能访问的服务器 财务部只能访问财务部服务器 生产部只能访问生产部服务器
4. 限制Telnet登录，登录用户名为benet，密码为test
5. 只有网管可以使用远程桌面、Telnet、SSH等登录方式管理服务器
6. 要求所有部门之间不能互通，但可以和网管互通

参考命令

封装链路

int   range   f0/1（f0/1-4分开打4遍例如int f0/2）

sw  trunk  enc  dot1q

Sw mode  trunk

创建vtp

Exit

Vtp  domain  ccc（ccc这个相当于vtp的名字，可以更改）

创建VLAN

vlan 2 exit

Vlan3  exit

Vlan 4  exit

为6台计算机和2台服务器配置IP

网管：192.168.1.10  255.255.255.0  192.168.1.1

生产：192.168.2.10  255.255.255.0  192.168.2.1

财务：192.168.3.10  255.255.255.0  192.168.3.1

生产服务器：192.168.4.10  255.255.255.0  192.168.4.1

财务服务器：192.168.4.20  255.255.255.0  192.168.4.1

交换机配置

1>往上trunk：

int f0/1   sw  mo   trunk（1.0/2.0/3.0/4.0同理）

2>往下access:

1.0：int  f0/2       sw   a   v   1

2.0:int   f0/2 sw  a  v  2

3.0:int   f0/2 sw  a  v  3

4.0:int  range   f0/2-3 sw  a  v  4

三层交换机

int  vlan 1

ip  add  192.168.1.1  255.255.255.0

No sh

(vlan  2、3、4同理)

Exit

退出vlan启用路由功能

ip   routing

确认全网互通

①1.0——2.0(successful)   

②1.0——3.0(successful)   

1.0——4.10(successful)   

③1.0——4.10(successful)   

1.0——4.20(successful)   

④2.0——3.0(successful)   

2.0——4.20(successful)   

3.0——4.10(successful)   

 三层交换机

全局配置ACL

ip  access-list  extend（这个acl什么模式）  benet（acl的名称可以更改）

Permit  ip  192.168.2.0  0.0.0.255  host  192.168.4.10（permit允许访问）

Deny  ip  192.168.2.0  0.0.0.255  host  192.168.4.20（Deny拒绝访问）

Permit  ip  192.168.3.0  0.0.0.255  host  192.168.4.20

Deny  ip  192.168.3.0  0.0.0.255  host  192.168.4.10

Deny  ip  192.168.2.0  0.0.0.255  192.168.3.0  0.0.0.255

Deny  ip  192.168.3.0  0.0.0.255  192.168.2.0  0.0.0.255

Permit  ip  192.168.1.0  0.0.0.255  any（任何主机都可以访问）

Permit  ip  any  192.168.1.0  0.0.0.255

Exit

将ACL应用于接口：

int  vlan  1

ip  access-group  benet  in

int  vlan  2

ip  access-group  benet  in

int  vlan  3

ip  access-group  benet  in

这个vlan 4可以省略可打可不打

int  vlan  4

ip  access-group  benet  out

查看ACL命令：sh  acc

开始测试

2.0——4.20(failed)   

2.0——4.10(successful)   

3.0——4.20(successful)   

3.0——4.10(failed)   

2.0——3.0(failed)   

3.0——2.0(failed)   

1.0——2.0(successful)   

1.0——3.0(successful)   

在三层交换中配置远程管理登录密码

Line  vty  0  4

Password  123

Login

Exit

Enable  password  456

验证远程管理登录

网管PC：telnet   192.168.1.1

123

en

456