ACL实例

配置标准IPACL背景描述：某公司网络中，行政部、销售部和财务部门分别属于不同的3个子网，3个子网之间使用路由器进行互联。行政部所在的子网为172.16.1.0/24，销售部所在的子网为172.16.2.0/24，财务部所在的子网为172.16.4.0/24。考虑到信息安全的问题，要求销售部门不能对财务部门进行访问，但行政部可以对财务部门进行访问。需求分析：标准IPACL可以根据配置的规则对网络中的数据进行过滤。实验拓扑图R2（config）#access-list1deny172.16.2.00.0.0.255R2（config）#access-list1permit172.16.1.00.0.0.255R2（config）#interfacefastethernet1/0R2（config）#ipaccess-group1out配置扩展IPACL背景描述：某校园网中，宿舍网、教工网和服务器区域分别属于不同的3个子网，3个子网之间使用路由器进行互联。宿舍网所在的子网为172.16.1.0/24，教工网所在的子网为172.16.2.0/24，服务器区域所在的子网为172.16.4.0/24。现在要求学生网的主机只能访问服务器区域的FTP服务器，而不能访问。教工网的主机可以同时访问FTPSERVER和。此外，除了宿舍网和教工网到达服务器区域的FTP和流量以外，不允许任何其他的数据流到达服务器区域。需求分析：扩展IPACL可以根据配置的规则对网络中的数据进行过滤。实验拓扑图R1（config）#access-list100permittcp172.16.1.00.0.0.255host172.16.4.2eqftpR1（config）#access-list100permittcp172.16.1.00.0.0.255host172.16.4.2eqftp-dataR1（config）#access-list100permittcp172.16.2.00.0.0.255host172.16.4.2eqftpR1（config）#access-list100permittcp172.16.2.00.0.0.255host172.16.4.2eqftp-dataR1（config）#access-list100permittcp172.16.2.00.0.0.255host172.16.4.3eq（config）#interfaceserial1/2R1（config）#ipaccess-group100out配置基于MAC的ACL背景描述：某公司一个简单的局域网中，通过使用1台交换机提供主机及服务器的接入，并且所有主机和服务器均属于同一个VLAN（VLAN2）中。网络中有3台主机和1台财务服务器。现在需要实现访问控制，只允许财务部主机（172.16.1.1）访问财务服务器。需求分析：基于MAC的ACL可以根据配置的规则对网络中的数据进行过滤。实验拓扑图Switch(config)#macaccess-listextendeddeny_to_accsrvSwitch(config-mac-nacl)#denyanyhost000d.000d.000dSwitch(config-mac-nacl)#permitanyanySwitch(config-mac-nacl)#exitSwitch(config)#interfacefastethernet0/2Switch(config-if)#macaccess-groupdeny_to_accsrvinSwitch(config-if)#exitSwitch(config)#interfacefastethernet0/3Switch(config-if)#macaccess-groupdeny_to_accsrvinSwitch(config-if)#end背景描述：某公司一个简单的局域网中，通过使用1台交换机提供主机及服务器的接入，并且所有主机和服务器均属于同一个VLAN（VLAN2）中。网络中有3台主机和1台财务服务器。现在需要实现访问控制，只允许财务部主机（172.16.1.1）访问财务服务器上的财务服务（TCP5555），而其他服务不允许访问。需求分析：专家ACL可以根据配置的规则对网络中的数据进行过滤。配置专家ACL配置专家ACLSwitch(config)#expertaccess-listextendeddeny_to_accsrvSwitch(config-exp-nacl)#denyanyanyhost172.16.1.254host000d.000d.000dSwitch(config-exp-nacl)#permitanyanyanyanySwitch(config-exp-nacl)#exitSwitch(config)#expertaccess-listextendedallow_to_accsrv5555Switch(config-exp-nacl)#permittcphost172.16.1.1host000a.000a.000ahost172.16.1.254anyeq5555Switch(config-exp-nacl)#permiticmphost172.16.1.1host000a.000a.000ahost172.16.1.254host000d.000d.000dSwitch(config-exp-nacl)#denyanyanyhost172.16.1.254anySwitch(config-exp-nacl)#permitanyanyanyanySwitch(config-exp-nacl)#exitSwitch(config)#interfacefastethernet0/2Switch(config-if)#expertaccess-groupdeny_to_accsrvinSwitch(config-if)#exitSwitch(config)#interfacefastethernet0/3Switch(config-if)#macaccess-groupdeny_to_accsrvinSwitch(config-if)#exitSwitch(config)#interfacefastethernet0/1Switch(config-if)#expertaccess-groupallow_to_accsrv5555inSwitch(config-if)#exit配置基于时间的ACL背景描述：某公司的网络中使用一台路由器提供子网间的互联。子网172.16.1.0/24位公司员工主机所在的网段，其中公司经理的主机地址为172.16.1.254/24；子网10.1.1.0/24为公司服务器网段，其中有两台服务器，1台服务器（10.1.1.100/24）和1台FTP服务器（10.1.1.200/24）。现在要实现基于时间段的访问控制，使公司员工只有在正常上班时间（周一至周五9：00~18：00）可以访问FTP服务器，并且只有在下班时间才能访问服务器；而经理的主机可以在任何时间访问这两台服务器。需求分析：基于时间的ACL可以根据配置的规则，在不同的时间段对网络中的数据进行过滤。Router(config)#time-rangework-timeRouter(config-time-range)#periodicweekdays09:00to18:00Router(config-time-range)#exitRouter(config)#ipaccess-listextendedaccessctrlRouter(config-ext-nacl)#permitiphost172.16.1.25410.1.1.00.0.0.255Router(config-ext-nacl)#permittcp172.16.1.00.0.0.255host10.1.1.200eqftptime-rangework-timeRouter(config-ext-nacl)#permittcp172.16.1.00.0.0.255host10.1.1.200eqftp-datatime-rangework-timeRouter(config-ext-nacl)#denytcp172.16.1.00.0.0.255host10.1.1.100eq(config-ext-nacl)#permittcp172.16.1.00.0.0.255host10.1.1.100eq(config-ext-nacl)#exitrouter(config)#interfacefastethernet0/0router(config-if)#ipaccess-groupaccessctrlinSwitch(config-if)#end