单元任务书17_ACL综合应用

1单元任务书17_ACL综合应用任务目标：1、能够配置命名ACL2、能够配置定时ACL3、能够根据实际需求选择使用ACL学习形式小组协作，共同完成英语词汇：weekend：周末weekdays：允许periodic：周期的access-group：访问组time-range：时间范围absolute：绝对的start：开始end：结束sequence-number：序列号wildcard：通配符，本课程指反掩码实践任务：任务一；命名访问控制列表配置实验环境：公司网络top如下图所示，要求配制命名访问控制列表，实现一定的安全控制。需求描述：192.168.1.0/24网段中除了192.168.1.4~192.168.1.7外的所有其余地址都不能访问服务器其他公司网段都可以访问服务器需要讨论和注意的事项：1.在哪个哪台路由器应用命名ACL，在哪个接口应用2.应用在入方向还是出方向配置步骤：1、进行基本配置，实现PC1~PC7经过3个路由器都能够访问Server、2192.168.2.0/24网络2、把命名ACL应用在离目的地最近的路有器R3，并将ACL应用在网络设备连接服务器接口的出方向ACL配置如下：R3(config)#ipaccess-listextendeda1R3(config-ext-nacl)#permitiphost192.168.1.4host192.168.100.100R3(config-ext-nacl)#permitiphost192.168.1.5host192.168.100.100R3(config-ext-nacl)#permitiphost192.168.1.6host192.168.100.100R3(config-ext-nacl)#permitiphost192.168.1.7host192.168.100.100R3(config-ext-nacl)#denyip192.168.1.00.0.0.255host192.168.100.100R3(config-ext-nacl)#permitipanyhost192.168.100.100R3(config-ext-nacl)#exit应用ACL：R3(config)#intf0/1R3(config-if)#ipaccess-groupa1out3、查看并验证配置使用showaccess-lists命令查看ACL配置R3#showaccess-lists需求拓展：网络运行一段时间后，由于公司人员调整，需要变更访问服务器ACL，要求如下：不允许192.168.1.5和192.168.1.7主机访问服务器允许192.168.1.10主机访问服务器变更如下：R3(config)#ipaccess-listextendeda1R3(config-ext-nacl)#no20R3(config-ext-nacl)#nopermitiphost192.168.1.7host192.168.100.100R3(config-ext-nacl)#11permitiphost192.168.1.10host192.168.100.100R3(config-ext-nacl)#exit任务二；ACL综合应用实验环境：公司网络简化拓扑如下图所示，基于信息安全方面考虑，要求配制访问控制列表，实现安全控制。3网络规划：1.公司全部使用192.168.0.0/16网段地址2.配置设备的网管地址：SW1:192.168.0.1/24，SW2:192.168.0.2/24，SW3:192.168.0.3/24，R1：1.1.1.1/323、PC1为网络管理区主机，IP：192.168.2.2/24，网关：192.168.2.1/24，属于VLAN2；PC2为财务部主机，IP：192.168.3.2/24，网关：192.168.3.1/24，属于VLAN3；PC3为信息安全员主机，IP：192.168.4.2/24，网关：192.168.4.1/24，属于VLAN44、SW1中，VLAN2接口IP：192.168.2.1/24，VLAN3接口IP：192.168.3.1/24，VLAN4接口IP：192.168.4.1/24，VLAN100接口IP：192.168.100.1/245、服务器IP为：192.168.100.2/24，网关：192.168.100.1/24，属于VLAN1006、SW1和R1互联地址为10.0.0.0/307、配置R1路由器的Loopback0接口地址为123.0.1.1/24，模拟外网地址信息安全需求：限定不同的部门能访问的服务器，如财务部只能访问财务部服务器，生产部只能访问生产部服务器（简化拓扑图中，不同部门都能访问Server）网络管理员可以访问所有服务器网络设备只允许网管区IP地址可以通过TELNET登录，并配置设备用户名为benet，密码为test只有网管能使用远程桌面、TELNET、SSH等登录方式管理服务器所有部门之间不能互通，但可以和网管互通公司有几名信息安全员，信息安全员可以访问服务器，不能访问Internet外网只能访问特定服务器的特定服务限制员工上网时间为工作日的8:00～18:00配置步骤：1、进行基本配置，实现全网互通（1）R1配置f0/0、Loopback0接口地址，配置到192.168.0.0/16的静态路由，配置Loopback1接口地址作为网管地址（2）SW1分别创建VLAN2、VLAN3、VLAN4、VLAN100，配置f0/23-24为trunk中继链路，分别配置VLAN2、VLAN3、VLAN4、VLAN100的虚接口地址，启用路由功能，配置连接R1的f0/1接口地址，配置默认路由，配置VLAN1地址并作为网管地址4（3）SW2分别创建VLAN2、VLAN3、VLAN4，配置f0/24为trunk中继链路，分别配置f0/1、f0/2、f0/3三个接口并分别划分到VLAN2、VLAN3、VLAN4中，配置VLAN1地址并作为网管地址，配置该设备的默认网关192.168.0.1（4）SW3创建VLAN100，配置f0/24为trunk中继链路，配置f0/1接口并划分到VLAN100中，配置VLAN1地址并作为网管地址，配置该设备的默认网关192.168.0.1（4）测试全网的互通性2、配置ACL实现公司信息安全要求配置实现网络设备只允许网管区IP地址可以通过telnet登录，并配置设备用户名为baidu，密码为test，R1的配置如下：R1配置R1(config)#access-list1permit192.168.2.00.0.0.255R1(config)#usernamebaidupasswordtestR1(config)#enablepasswordtestR1(config)#linevty04R1(config-line)#loginlocalR1(config-line)#access-class1inR1(config-line)#exitSW1、SW2、SW3配置与R1相同公司其他安全要求的配置命令如下：//ACL100表示内网主机都可以访问服务器，但是只有网络管理员才能通过telnet、ssh和远程桌面登录服务器，外网只能访问服务器的80端口SW1(config)#access-list100permitip192.168.2.00.0.0.255host192.168.100.2//上述1条ACL表示：允许网络管理员网段192.168.2.0/24访问服务器SW1(config)#access-list100denytcp192.168.0.00.0.255.255host192.168.100.2eqtelnetSW1(config)#access-list100denytcp192.168.0.00.0.255.255host192.168.100.2eq22SW1(config)#access-list100denytcp192.168.0.00.0.255.255host192.168.100.2eq3389//上述4条ACL表示：除192.168.2.0/24网段外其他所有内网地址均不能通过telnet、ssh和远程桌面登录服务器SW1(config)#access-list100permitip192.168.0.00.0.255.255host192.168.100.2SW1(config)#access-list100permittcpanyhost192.168.100.2eq80//上述两条ACL表示：允许内网主机访问服务器，允许内网外网任何主机访问服务器的80端口SW1(config)#access-list100denyipanyany5SW1(config)#interfacevlan100SW1(config-if)#ipaccess-group100out//应用到out方向SW1(config-if)#exit//ACL101表示192.168.3.0/24网段主机可以访问服务器，可以访问网络管理员网段，但不能访问其他部门网段，也不能访问外网SW1(config)#access-list101permitip192.168.3.00.0.0.255host192.168.100.2SW1(config)#access-list101permitip192.168.3.00.0.0.255192.168.2.00.0.0.255SW1(config)#access-list101denyipanyanySW1(config)#interfacevlan3SW1(config-if)#ipaccess-group101in//应用到in方向SW1(config-if)#exitSW1(config)#time-rangebaiduSW1(config-time-range)#periodicweekdays08:00to18:00//配置上网时间段SW1(config-time-range)#exit//ACL102表示192.168.4.0/24网段主机可以访问服务器，可以访问网络管理员网段，但不能访问其他部门网段，在指定时间段可以访问外网SW1(config)#access-list102permitip192.168.4.00.0.0.255host192.168.100.2SW1(config)#access-list102permitip192.168.4.00.0.0.255192.168.2.00.0.0.255SW1(config)#access-list102denyipany192.168.0.00.0.255.255SW1(config)#access-list102permitipanyanytime-rangebaiduSW1(config)#access-list102denyipanyanySW1(config)#interfacevlan4SW1(config-if)#ipaccess-group102in//应用到in方向SW1(config-if)#exit63、查看并验证配置使用ping命令验证配置是否正确，对于时间限制，可以更改时间后再进行测试。课后练习：配置ACL控制服务需求描述公司内部只能使用FTP服务器传输文件关闭其他所有服务和端口实现思路分析FTP使用的端口号，然后分析如何配置ACL