1.1 访问控制列表

实验内容

实验拓扑如图所示，实验编址如表1-1 所示。本实验模拟了一个简单的公司网
络，基本组成:一台Ftp-Server, 一台Web-Server,一台HR部门的终端PC-1,-台SALES
部门的终端PC-2，一台IT部门的终端PC-3，一台路由器R1和一台交换机SW1。为了
满足公司的安全需求，要求在R1.上使用ACL对部门之间的互访，以及用户对服务器的
访问进行控制。另外，只允许SW1的VLANIF1接口的IP地址作为源地址远程登录到
R1，以实现对R1的远程控制和管理。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QiCEDeiW-1609823873633)(C:\Users\你的电脑\Desktop\image-20210105111344474.png)]

实验步骤

1.配置IP地址和配置服务器

ftp

web

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4BBRErlh-1609823873635)(C:\Users\你的电脑\AppData\Roaming\Typora\typora-user-images\image-20210105113146852.png)]

提示设备启动为成功

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lVla5k5P-1609823873635)(C:\Users\你的电脑\AppData\Roaming\Typora\typora-user-images\image-20210105113306061.png)]

2.为各部门创建安全区域

创建安全区域

[R1]firewall zone hr
[R1-zone-HR]priority 12
[R1]firewall zone  sales
[R1-zone-SALES]priority 10
[R1]firewall zone it
[R1-zone-IT]priority 8
[R1]firewall zone trust	
[R1-zone-trust]priority 14

将R1上连接不同部门的接口加入到相应部i ]的安全区域中，G0/0/3 加入到trust区域

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]zone HR
其余接口配置相同

使用dis firewall zone 查看

3.禁止sales部门与hr部门之间的互访

[R1]firewall interzone sales hr 
[R1-interzone-hr-sales]firewall enable 
[R1-interzone-hr-sales]dis this
#
firewall interzone hr sales
 firewall enable
#

使用dis firwall interzone hr sales 查看区域间的默认策略

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9psv8CEe-1609823873637)(C:\Users\你的电脑\AppData\Roaming\Typora\typora-user-images\image-20210105125250711.png)]

pc1可以ping通pc2，pc2无法ping通pc1

使用ACL使pc1不与pc2通信

配置acl3000
[R1-acl-adv-3000]rule 10 deny ip source 172.16.1.0 0.0.0.255 destination
172.16.2.0 0.0.0.255
[R1-acl-adv-3000]step 10
应用在outbound
[R1]firewall interzone sales hr 
[R1-interzone-hr-sales]packet-filter 3000 outbound 

s hr
[R1-interzone-hr-sales]packet-filter 3000 outbound