将各端口IP地址配好
运用OSPF动态路由,使得各个网络互通
Ospf 1;area 0;network 具体IP 0.0.0.0
在LWS4上面进行vlan 划分以及设置具体的访问控制列表(ACL)
Vlan batch 10 20 30 40(学生、教师,管理员)
Inter vlan 10
IP add 10.1.255.1 24
Acl :扩展ACL、标准ACL
标准IP访问控制列表
用于简单的访问控制、路由过滤,且仅对源地址进行过滤。
标准ACL格式
R1(config)#access-list access-list-number {remark|permit|deny} source source-wildcard [log]
R1(config)#access-list 表号 策略 源地址
表号:标准ACL范围,1-99、1300-1999。
策略:permit(允许);deny(拒绝)。
源地址:指定IP网段:IP地址+通配符掩码;单个主机地址:host;任意地址:any。
说明:
①“remark”选项:用于给访问控制列表添加备注,增强列表的可读性。
②源地址字段中:any选项表示任何IP地址,等同于0.0.0.0 255.255.255.255;host选项可代替掩码0.0.0.0。
③可选参数“log”:用于对匹配的数据包生成信息性日志消息,并发送到控制台上。
扩展ACL比标准ACL提供更加广泛的控制范围,控制更加精准。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”
扩展ACL可以控制通信流量的类型
此次实验中的ftp、domian(ftp)、dns(udp)
需求:学生只可在晚上7:00-9:00上外网,以及访问校内FTP服务器,其余均不可;教师可上外网,不可访问DNS服务器;网络管理员可上外网,也可访问校内服务器。
首先定义上网的时间:time-range TR 19:00 to 21:00 daily
其次,开始根据需求的详细情况进行ACL规则:使用的扩展ACL
ACL 3000
rule 5 permit tcp source 10.1.255.0 0.0.0.255 destination 10.1.3.2 0 destinatio
n-port eq ftp time-range TR(允许学生在TR时间段内使用tcp协议访问ftp服务器)
rule 6 deny ip source 10.1.255.0 0.0.0.255 destination 10.1.3.2 0 time-range TR(拒绝学生访问学校服务器在TR时间段内)
rule 7 permit ip source 10.1.255.0 0.0.0.255 time-range TR(在TR时间端允许学生)
rule 10 deny ip source 10.1.255.0 0.0.0.255(拒绝学生ip)
rule 15 deny tcp source 10.1.254.0 0 destination 10.1.3.2 0 destination-port eq
domain(拒绝教师使用tcp协议访问域名服务)
rule 20 deny udp source 10.1.254.0 0 destination 10.1.3.2 0 destination-port eq
dns(拒绝教师使用udp协议访问10.1.3.2的dns服务)
将其应用到接口上: inter g0/0/4 ;traffic-filter outbound acl 3000(关联接口出站数据)
基于时间的访问控制列表
基于时间的ACL可以对于不同的时间段实施不同的访问控制规则。在原有ACL的基础上应用时间段。时间段可以分为:绝对时间段(absolute)、周期时间段(periodic)和混合时间段。
设置路由器时间:R1#clock set 时:分:秒日月年 例如:R1#clock set 14:08:37 21 may 2012
说明:在配置基于时间的ACL之前确保路由器系统时间设置正确。
第一步,定义时间段:
R1(config)#