实验目的:
掌握基本ACL和高级ACL在安全策略中的应用
掌握基于时间信息的ACL配置
掌握使用基本ACL保护路由器的VTY线路
实验拓扑如下,IP编制如图。本实验模拟了一个简单的公司网络基本组成。为了满足公司的安全需求,需要在R1上使用ACL对部门之间的互访,以及用户对服务器的访问进行控制。另外,只允许SW1的VLANIF1接口的IP地址作为源地址远程登录到R1,以实现对R1的远程控制管理。
先在R1上做IP地址相关的配置
interface GigabitEthernet0/0/0
ip address 172.16.1.254 255.255.255.0
interface GigabitEthernet0/0/1
ip address 172.16.2.254 255.255.255.0
interface GigabitEthernet0/0/2
ip address 172.16.3.254 255.255.255.0
interface GigabitEthernet0/0/3
ip address 192.168.1.254 255.255.255.0
(web与ftp服务器均使用R1-g0/0/3口作为网关)
配置完成后,测试网络连通性,这里我们用PC1去ping R1 若配置无误,则如下图
下面进行交换机S1的配置,这里我们只需利用三层交换机的特性,配置vlanif1接口即可
interface Vlanif1
ip address 192.168.1.1 255.255.255.0
下面进行FTP服务器的基本配置,这里我们用本地的文件夹进行测试。
(记得查看日志信息,以防设备没有正常启动,web服务器配置类似,我们可以在本地创建一个简单的html文件进行测试。)
下面对R1防火墙进行安全区域以及级别配置,HR安全级别为12,SALES安全级别为10,IT安全级别为8,ftp与web服务器均使用Trust域,所以安全级别需要高一些,这里我们配置为14
firewall zone HR
priority 12
firewall zone SALES
priority 10
firewall zone IT
priority 8
firewall zone Trust
priority 14
firewall zone Local
priority 16
配置好了后别忘了在接口下加入域!!!
interface GigabitEthernet0/0/0
ip address 172.16.1.254 255.255.255.0
zone HR
interface GigabitEthernet0/0/1
ip address 172.16.2.254 255.255.255.0
zone SALES
interface GigabitEthernet0/0/2
ip address 172.16.3.254 255.255.255.0
zone IT
interface GigabitEthernet0/0/3
ip address 192.168.1.254 255.255.255.0
zone Trust
配置好之后,使用display firewall zone查看
下面就可以正式实施基于安全区域的ACL配置了!
(配置工作已完成,万事俱备只欠东风)
①由于SALES部与HR之间无任何的业务来往,因此在R1上使用ACL禁止两部门互访。
R1
#acl 3000
#rule deny ip source 172.16.1.0 0.0.0.255 #destination 172.16.2.0 0.0.0.255
#firewall interzone SALES HR
#packet-filter 3000 outbound
即可配置完成ACL