




已阅读5页,还剩3页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
案例十五 利用IP标准访问列表进行网络流量控制【背景描述】你是一个公司的网络管理员,公司的经理部、财务部门和销售部门分属不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部门进行访问,但经理部可以对财务部进行访问。 PC1代表经理部的主机,PC2代表销售部门的主机,PC3代表财务部门的主机。【实现功能】 实现网段间互相访问的安全权限。【技术原理】 IP ACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性。IP ACL分为两种:标准IP 访问列表和扩展IP访问列表。 标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。 IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。入栈应用是指由外部经该接口进行路由器的数据包进行过滤。出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。 IP ACL的配置有两种方式:按照编号的访问列表,按照命名的访问列表。标准IP访问列表编号范围是199、13001999,扩展IP访问列表编号范围是100199、20002699。【使用设备】设备类型设备名称设备数量交换机路由器router2三层交换机双绞线4计算机3【案例拓扑】【实现过程】步骤1 基本配置router1的配置Red-Giant#configure terminalRed-Giant(config)#hostname Router1Router1(config)#interface fastEthernet 0Router1(config-if)#ip address 172.16.1.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config)#interface fastEthernet 1Router1(config-if)#ip address 172.16.2.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config)#interface serial 1Router1(config-if)#ip addRouter1(config-if)#ip address 172.16.3.1 255.255.255.0Router1(config-if)#clock rate 64000Router1(config-if)#no shutdownRouter1(config-if)#end测试命令Router1#show ip int briefInterface IP-Address OK? Method Status ProtocolFastEthernet0 172.16.1.1 YES manual up upFastEthernet1 172.16.2.1 YES manual up upFastEthernet2 unassigned YES unset administratively down downFastEthernet3 unassigned YES unset administratively down downSerial0 unassigned YES unset administratively down downSerial1 172.16.3.1 YES manual up uprouter2的配置Red-GiantenableRed-Giant#Red-Giant#configure terminalRed-Giant(config)#hostname Router2Router2(config)#inRouter2(config)#interface faRouter2(config)#interface fastEthernet 0Router2(config-if)#ip add 172.16.4.1 255.255.255.0Router2(config-if)#no shutdownRouter2(config-if)#exiRouter2(config)#interface serial 1Router2(config-if)#ip addRouter2(config-if)#ip address 172.16.3.2 255.255.255.0Router2(config-if)#no shutdownRouter2(config-if)#end测试命令Router2#show ip int briefInterface IP-Address OK? Method Status ProtocolFastEthernet0 172.16.4.1 YES manual up upFastEthernet1 unassigned YES unset administratively down downFastEthernet2 unassigned YES unset administratively down downFastEthernet3 unassigned YES unset administratively down downSerial0 unassigned YES unset administratively down downSerial1 172.16.3.2 YES manual up up配置静态路由Router1(config)#ip route 172.16.4.0 255.255.255.0 serial 1Router2(config)#ip route 172.16.1.0 255.255.255.0 serial 1Router2(config)#ip route 172.16.2.0 255.255.255.0 serial 1测试命令Router1#show ip routeCodes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area E1 - OSPF external type 1, E2 - OSPF external type 2Gateway of last resort is not set 172.16.0.0/24 is subnetted, 4 subnetsS 172.16.4.0 is directly connected, Serial1C 172.16.1.0 is directly connected, FastEthernet0C 172.16.2.0 is directly connected, FastEthernet1C 172.16.3.0 is directly connected, Serial1Router2#show ip routeCodes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area E1 - OSPF external type 1, E2 - OSPF external type 2Gateway of last resort is not setC 172.16.3.0/24 is directly connected, Serial1C 172.16.4.0/24 is directly connected, FastEthernet0 172.16.0.0/24 is subnetted, 2 subnetsS 172.16.1.0 is directly connected, Serial1S 172.16.2.0 is directly connected, Serial1步骤2 配置标准IP访问控制列表Router2(config)#access-list 1 deny 172.16.2.0 0.0.0.255 !拒绝来自172.16.2.0网段的流量通过Router2(config)#access-list 1 permit 172.16.1.0 0.0.0.255 !允许来自172.16.1.0 网段的流量通过验证测试Router2#show access-lists 1Standard IP access list 1 deny 172.16.2.0, wildcard bits 0.0.0.255 permit 172.16.1.0, wildcard bits 0.0.0.255步骤3 把访问控制列表在接口下应用Router2(config)#interface fastEthernet 0Router2(config-if)#ip access-group 1 out !在接口下访问控制列表出栈流量调用验证测试Router2#show ip interface fastEthernet 0FastEthernet0 is up, line protocol is up Internet address is 172.16.4.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is 1 !查看访问控制列表在接口上的应用 Inbound access list is not set Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP multicast fast switching is enabled Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled Policy routing is disabled步骤4 验证测试 ping(172.16.2.0网段的主机不能ping通172.16.4.0网段的主机;172.16.1.0网段的主机能ping通172.16.4.0网段的主机)。参考配置Router1#show running-config !查看路由器1的全部配置Building configuration.Current configuration:!version 6.14(9coll)!hostname Router1!ip subnet-zero!interface FastEthernet0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet1 ip address 172.16.2.1 255.255.255.0!interface FastEthernet2 no ip address shutdown!interface FastEthernet3 no ip address shutdown!interface Serial0 no ip address shutdown!interface Serial1 ip address 172.16.3.1 255.255.255.0 clock rate 64000!ip classlessip route 172.16.4.0 255.255.255.0 Serial1!line con 0line aux 0line vty 0 4 loginline vty 5 19 login!endRouter2#show running-config !查看路由器2的全部配置Building configuration.Current configuration:!version 6.14(9coll)!hostname Router2!ip subnet-zero!inte
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 无锡工作群管理办法
- 办事处建设管理办法
- 托儿所如何管理办法
- 景区流浪猫管理办法
- 发建部现场管理办法
- 大学信息化管理办法
- 新员工考评管理办法
- 平行车进口管理办法
- 江西省计价管理办法
- 教师体育团管理办法
- 2024年景区委托运营管理服务合同3篇
- 产品标签管理制度内容
- 儿童孤独症的健康宣教
- 2024年度外籍员工绩效考核与奖励机制合同3篇
- 2024-2030年中国氢气传感器行业销售动态与竞争前景预测报告
- 非新生儿破伤风诊疗规范考试试题
- 档案调取申请书范本
- 浅部真菌病的局部治疗策略
- 2024年知识竞赛-大疆无人机飞行知识考试近5年真题集锦(频考类试题)带答案
- DB23-T 3789-2024 大中型灌区标准化管理规范
- 2024-2025学年七年级生物上册 第一单元 单元测试卷(冀少版)
评论
0/150
提交评论