本篇文章主要用于acl访问控制列表实验
限制销售部访问财务部,禁止销售部访问财务部ftp服务,同时允许财务部向销售部和研发部提供web服务。
步骤一:配置各个pc的ip地址及网关;
步骤二:配置路由器各接口ip
A公司:
[Agongsi]interface GigabitEthernet 0/0/0
[Agongsi-GigabitEthernet0/0/0]ip address 192.168.10.254 24
[Agongsi-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1
[Agongsi-GigabitEthernet0/0/1]ip address 192.168.20.254 24
[Agongsi-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[Agongsi-GigabitEthernet0/0/2]ip address 200.1.1.1 24
总公司:
[zonggongsi]interface GigabitEthernet 0/0/0
[zonggongsi-GigabitEthernet0/0/0]ip address 192.168.30.254 24
[zonggongsi-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/2
[zonggongsi-GigabitEthernet0/0/2]ip address 200.1.1.2 24
步骤三:配置网络互通(静态路由、rip或者ospf)
ps:这里使用的是rip协议
总公司:
[zonggongsi]rip
[zonggongsi-rip-1]version 2
[zonggongsi-rip-1]network 192.168.30.0 宣告各自路由器连接的网段
[zonggongsi-rip-1]network 200.1.1.0
A公司:
[Agongsi]rip
[Agongsi-rip-1]version 2
[Agongsii-rip-1]network 192.168.10.0
[Agongsi-rip-1]network 192.168.20.0
[Agongsi-rip-1]network 200.1.1.0
测试:销售部pc ping 192.168.30.1 通
研发部pc ping 192.168.30.1 通
1.基本控制列表 编号2000-2999
靠近目标网段:192.168.30.0 24
在总公司路由上做acl(如果明确说做在哪里,按要求,没有说明,就靠近目标网段)
[zonggongsi]acl 2000
[zonggongsi-acl-basic-2000]rule 5 deny source 192.168.10.0 0.0.0.255
[zonggongsi]interface GigabitEthernet 0/0/0 靠近目标网段接口,出方向。
[zonggongsi-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
测试:
销售部pc ping 192.168.30.1 不通
1.高级控制列表 编号3000-3999
靠近源网段 192.168.10.0 24 A公司路由g0/0/0口上
做高级acl
[zonggongsi]acl 3000
[zonggongsi-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.4.1 0.0.0.0 destination-port range 20 21
限制FTP服务,FTP端口号20 21
[zonggongsi-acl-adv-3000]rule permit tcp source 192.168.1.0 0.0.0.255 destination 192.16
8.4.1 0.0.0.0 destination-port eq 80 web服务端口号80
[zonggongsi-acl-adv-3000]rule deny ip 拒绝其他服务
[zonggongsi]interface GigabitEthernet 0/0/0
[zonggongsi-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
在入方向上做高级acl
谢谢支持