1.1 访问控制列表
实验内容
实验拓扑如图所示,实验编址如表1-1 所示。本实验模拟了一个简单的公司网
络,基本组成:一台Ftp-Server, 一台Web-Server,一台HR部门的终端PC-1,-台SALES
部门的终端PC-2,一台IT部门的终端PC-3,一台路由器R1和一台交换机SW1。为了
满足公司的安全需求,要求在R1.上使用ACL对部门之间的互访,以及用户对服务器的
访问进行控制。另外,只允许SW1的VLANIF1接口的IP地址作为源地址远程登录到
R1,以实现对R1的远程控制和管理。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QiCEDeiW-1609823873633)(C:\Users\你的电脑\Desktop\image-20210105111344474.png)]
实验步骤
1.配置IP地址和配置服务器
ftp
web
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4BBRErlh-1609823873635)(C:\Users\你的电脑\AppData\Roaming\Typora\typora-user-images\image-20210105113146852.png)]
提示设备启动为成功
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lVla5k5P-1609823873635)(C:\Users\你的电脑\AppData\Roaming\Typora\typora-user-images\image-20210105113306061.png)]
2.为各部门创建安全区域
创建安全区域
[R1]firewall zone hr
[R1-zone-HR]priority 12
[R1]firewall zone sales
[R1-zone-SALES]priority 10
[R1]firewall zone it
[R1-zone-IT]priority 8
[R1]firewall zone trust
[R1-zone-trust]priority 14
将R1上连接不同部门的接口加入到相应部i ]的安全区域中,G0/0/3 加入到trust区域
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]zone HR
其余接口配置相同
使用dis firewall zone 查看
3.禁止sales部门与hr部门之间的互访
[R1]firewall interzone sales hr
[R1-interzone-hr-sales]firewall enable
[R1-interzone-hr-sales]dis this
#
firewall interzone hr sales
firewall enable
#
使用dis firwall interzone hr sales 查看区域间的默认策略
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9psv8CEe-1609823873637)(C:\Users\你的电脑\AppData\Roaming\Typora\typora-user-images\image-20210105125250711.png)]
pc1可以ping通pc2,pc2无法ping通pc1
使用ACL使pc1不与pc2通信
配置acl3000
[R1-acl-adv-3000]rule 10 deny ip source 172.16.1.0 0.0.0.255 destination
172.16.2.0 0.0.0.255
[R1-acl-adv-3000]step 10
应用在outbound
[R1]firewall interzone sales hr
[R1-interzone-hr-sales]packet-filter 3000 outbound
s hr
[R1-interzone-hr-sales]packet-filter 3000 outbound