5-7 访问控制列表配置实践.pptx

项目5

网络访问控制技术

访问控制列表配置实践

07.

应用标准IPACL控制内部网络互访

1．任务描述

ABC公司总部为市场部、财务部、人力资源部、企划部4个部门划分了子网，分别对应VLAN10、VLAN20、VLAN30和VLAN40，如图所示。公司的核心数据保存在内网服务器Server1中，为了确保公司业务数据的安全，只允许财务部的计算机访问Server1，其他部门的计算机均不能访问Server1，其他所有部门都可以访问公司内网服务器Server2。

应用标准IPACL控制内部网络互访

2．任务要求

为了在网络安全系统集成实训室中模拟本任务的实施，搭建所示的网络实训环境。要实现上述需求，可以利用三层设备提供的访问控制技术，在网络中的交换机SW3-1和SW3-2的适当端口上配置ACL。由于是对内网服务器Server1和Server2作出访问控制，因此使用标准的ACL，根据数据包的源地址进行过滤。配置任务如下：

（1）ACL应用规划。

（2）配置并应用ACL。

（3）验证ACL的正确性。

（4）使用MyBase软件对配置脚本进行管理，以便下一次实训和最后网络全网联调设备时使用。

应用标准IPACL控制内部网络互访

3．任务实施步骤

（1）ACL应用规划。

1）需要使用何种ACL？使用标准的ACL。

2）ACL规则的动作是deny还是permit？动作是permit或deny。

3）ACL规则中的通配符掩码应该是什么？55。

4）ACL包过滤应该应用在交换机SW3-1的哪个接口的哪个方向上？应用在fa0/3和fa0/4的out方向。

总结：标准ACL应用在离目标最近相连设备接口的出口方向。

（2）测试网络的连通性。本任务在应用ACL之前，应确保财务部的主机能够ping通Server1和Server2，确保ACL规则正常发挥作用。

应用标准IPACL控制内部网络互访

（3）配置并应用ACL。

1）在交换机SW3-1上配置对Server1进行访问控制的ACL。执行如下命令：

SW3-1(config)#access-list10permit55

//定义标准访问控制列表10，其允许网段为的主机通过

SW3-1(config)#access-list10denyany //访问控制列表10阻止其他任何主机通过

SW3-1(config)#interfacefastEthernet0/3 //进入端口fa0/3

SW3-1(config-if)#ipaccess-group10out //将ACL应用在交换机fa0/3的出口方向上

2）在交换机SW3-1上配置对Server2进行访问控制的ACL。执行如下命令：

SW3-1(config)#access-list20deny55

//定义标准访问控制列表20，阻止网段为192.168.20.0的主机通过

SW3-1(config)#access-list20permitany //访问控制列表20允许其他任何主机通过

SW3-1(config)#interfacefastEthernet0/4 //进入端口fa0/3

SW3-1(config-if)#ipaccess-group20out //将ACL应用在交换机fa0/3的出口方向上

应用标准IPACL控制内部网络互访

（4）查看ACL的正确性。在SW3-1上执行showaccess-list命令查看ACL配置的正确性。

（5）验证数据流量的有效性。采用VLAN10中的一台计算机作为测试主机PC1，配置IP地址为，子网掩码为，网关为54；采用VLAN20中的一台计算机作为测试主机PC2，配置IP地址为，子网掩码为，网关为54。

1）在PC1上pingServer1的IP地址，结论是□通□不通。

2）在PC1上pingServer2的IP地址，结论是□通□不通。

3）在PC2上pingServer1的IP地址，结论是□通□不通。

4）在PC2上pingServer2的IP地址，结论是□通□不通。

应用扩展IPACL控制内部网络资源访问

1．任务描述

ABC公司的内网服务器Server2中运行了Web服务器和FTP服务器，如图所示，其中Web服务器是面向内网所有用户的，FTP服务器保存了公司的核心数据。根据公司信息安全的要求，内网的计算机在工作日的上班时间才能访问内网服务器Server2中的Web服务，其他时间均不能访问Web服务；只允许财务部计算机在工作日的上班时间访问内网服务器Server2中的FTP服务，其他的任何部门都不能访问内网服务器Server2中的FTP服务器。

应用扩展IPACL控制内部网络资源访问

2．任务要