ACL的典型应用

Posted 2022-11-25 月亮归我了

一、基本ACL配置示例

• 要求：公司网络中有网管办公区、市场部办公区、项目办公区、财务办公区和公司服务器区。出于网络安全考虑，只有网管办公区的PC1才能通过Telnet方式登录路由器R1，其他区域的PC都不能通过Telnet方式登录路由器R1
• 拓扑图
  
• 配置思路
  （1）配置路由器的接口IP地址和主机IP地址
  （2）在路由器R1上创建基本ACL
  （3）制定基本ACL规则
  （4）在路由器的虚拟类型终端（Virtual Type Teiminal，VTY）上应用所配置的基本ACL。
• 配置过程
  （1）配置基本的各接口IP地址
  各主机配置举一个例子
  
  路由器接口配置IP地址
  （此处省略）
  （2）创建ACL和规则

[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.4.1 0
[R1-acl-basic-2000]rule deny source any
[R1-acl-basic-2000]quit

（3）在VTY上应用ACL

[R1]user-interface vty 0 4
[R1-ui-vty0-4]acl 2000 inbound
[R1-ui-vty0-4]quit

查看路由器上的规则

二、高级ACL配置示例

• 要求：在路由器R1上和R2上配置OSPF协议实现网路通信；在路由器R2上配置高级ACL。允许PC1访问路由器R2的Telnet服务，允许PC2访问服务器的FTP服务。

• 拓扑图
  

• 配置过程
  （1）配置路由器的接口IP地址、OSPF协议等，实现全网通。
  。。。。。。
  （2）配置路由器R2的高级ACL。

[R2]acl 3000
[R2-acl-adv-3000]rule 5 permit tcp source 192.168.1.1 0.0.0.0 destination 10.10.
1.2 0.0.0.0 destination-port eq 23  ## 定义规则编号为5，且允许源地址为192.168.1.1，目的地址为10.10.1.2、端口号为23的数据包。
[R2-acl-adv-3000]rule 10 permit tcp source 192.168.2.1 0.0.0.0 destination 10.10
.2.253 0.0.0.0 destination-port range 20 21 ## 定义规则编号为10，且允许源地址为192.168.2.1，目的地址为10.10.2.253、端口号为20 、21的数据包。
[R2-acl-adv-3000]rule 15 deny ip
[R2-acl-adv-3000]quit

（3）在接口GE0/0/0接口上应用ACL3000。

[R2]interface GigabitEthernet 0/0/0	
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R2-GigabitEthernet0/0/0]quit

（4）在路由器R2的VTY上应用ACL3000

[R2]user-interface vty 0 4
[R2-ui-vty0-4]acl 3000 inbound 
[R2-ui-vty0-4]quit

（5）启动服务器的FTP服务