《网络设备安装与调试技术》_第9章-网络间的访问控制(思科、华为、华三版-01基础篇与思科篇).pptxVIP

之前已经实现了公司总部与分部间、公司各部门间的互联互访，但考虑到网络安全的需求，各子网间的互访需要进行一些控制，如禁止公司分部访问总部的财务部门、禁止公司总部的市场部门访问分部、只允许网络管理人员远程访问和管理网络设备等。

这些子网间访问控制的需求可以通过ACL（AccessControlList，访问控制列表）实现。ACL是应用在路由器接口的指令规则列表，这些列表可根据数据包的源地址、目的地址、源端口、目的端口等信息，控制路由器放行这些数据包还是拦截这些数据包，达到对子网间访问控制的目的。;9.1标准和基础ACL;

;9.1.1思科设备配置标准ACL;1.各路由器的基本配置，命令如下：

R1(config)#interfacegigabitEthernet0/0//R1的配置

R1(config-if)#ipaddress

R1(config-if)#noshutdown

R1(config-if)#exit

R1(config)#interfacegigabitEthernet0/1

R1(config-if)#ipaddress

R1(config-if)#noshutdown

R1(config-if)#exit

R1(config)#interfaceserial0/0/0

R1(config-if)#ipaddress52

R1(config-if)#noshutdown

;R2(config)#interfaceSerial0/0/0//R2的配置

R2(config-if)#ipaddress52

R2(config-if)#noshutdown

R2(config-if)#exit

R2(config)#interfaceserial0/0/1

R2(config-if)#ipaddress52

R2(config-if)#noshutdown

R3(config)#interfaceserial0/0/0//R3的配置

R3(config-if)#ipaddress52

R3(config-if)#noshutdown

R3(config-if)#exit

R3(config)#interfacegigabitEthernet0/0

R3(config-if)#ipaddress

R3(config-if)#noshutdown;2.配置单区域OSPF使全网互通，命令如下：

R1(config)#routerospf1//R1的配置

R1(config-router)#router-id

R1(config-router)#network55area0

R1(config-router)#network55area0

R1(config-router)#networkarea0

R2(config)#routerospf1//R2的配置

R2(config-router)#router-id

R2(config-router)#networkarea0

R2(config-router)#networkarea0

R3(config)#routerospf1//R3的配置

R3(config-router)#router-id

R3(config-router)#networkarea0

R3(config-router)#network55area0;3.查看R1、R2、R3的OSPF路由表，命令如下：

R1#showiprouteospf//查看R1的OSPF路由表

R2#showiprouteospf//查看R2的OSPF路由表

R3#showiprouteospf//查看R3的OSPF路由表

4.为R1、R2、R3开启telnet服务，允许管理员通过密码“123”对这些设备进行telnet远程管理。通过ACL实现只允许PC0访问路由器R1、R2、R3的Telnet服务；拒绝PC1所在网段访问Server0（0）。命令如下：

R1(config)#access-list1permithost0//为R1定义ACL1的第一个表项，允许PC0通过，默认表项“拒绝所有”将自动添加在最后，成为ACL1的第二个表项

R1(config)#linevty04//进入0~4这五个远程虚拟终端的配置界面

R1(config-line)#access-class1in//将ACL1应用在远程连接的