配置标准IP ACL,背景描述： 某公司网络中，行政部、销售部和财务部门分别属于不同的3个子网，3个子网之间使用路由器进行互联。行政部所在的子网为172.16.1.0/24，销售部所在的子网为172.16.2.0/24，财务部所在的子网为172.16.4.0/24。考虑到信息安全的问题，要求销售部门不能对财务部门进行访问，但行政部可以对财务部门进行访问。 需求分析： 标准IP ACL可以根据配置的规则对网络中的数据进行过滤。,实验拓扑图,R2（config）# access-list 1 deny 172.16.2.0 0.0.0.255 R2（config）# access-list 1 permit 172.16.1.0 0.0.0.255 R2（config）# interface fastethernet 1/0 R2（config）# ip access-group 1 out,配置扩展IP ACL,背景描述： 某校园网中，宿舍网、教工网和服务器区域分别属于不同的3个子网，3个子网之间使用路由器进行互联。宿舍网所在的子网为172.16.1.0/24，教工网所在的子网为172.16.2.0/24，服务器区域所在的子网为172.16.4.0/24。现在要求学生网的主机只能访问服务器区域的FTP服务器，而不能访问WWW SERVER。教工网的主机可以同时访问FTP SERVER和WWW SERVER。此外，除了宿舍网和教工网到达服务器区域的FTP和WWW流量以外，不允许任何其他的数据流到达服务器区域。 需求分析： 扩展IP ACL可以根据配置的规则对网络中的数据进行过滤。,实验拓扑图,R1（config）# access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 172.16.4.2 eq ftp R1（config）# access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 172.16.4.2 eq ftp-data R1（config）# access-list 100 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.2 eq ftp R1（config）# access-list 100 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.2 eq ftp-data R1（config）# access-list 100 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.3 eq www R1（config）# interface serial 1/2 R1（config）# ip access-group 100 out,配置基于MAC的ACL,背景描述： 某公司一个简单的局域网中，通过使用1台交换机提供主机及服务器的接入，并且所有主机和服务器均属于同一个VLAN（VLAN 2）中。网络中有3台主机和1台财务服务器。现在需要实现访问控制，只允许财务部主机（172.16.1.1）访问财务服务器。 需求分析： 基于MAC的ACL可以根据配置的规则对网络中的数据进行过滤。,实验拓扑图,Switch(config)#mac access-list extended deny_to_accsrv Switch(config-mac-nacl)#deny any host 000d.000d.000d Switch(config-mac-nacl)#permit any any Switch(config-mac-nacl)#exit Switch(config)#interface fastethernet 0/2 Switch(config-if)#mac access-group deny_to_accsrv in Switch(config-if)# exit Switch(config)#interface fastethernet 0/3 Switch(config-if)#mac access-group deny_to_accsrv in Switch(config-if)# end,背景描述： 某公司一个简单的局域网中，通过使用1台交换机提供主机及服务器的接入，并且所有主机和服务器均属于同一个VLAN（VLAN 2）中。网络中有3台主机和1台财务服务器。现在需要实现访问控制，只允许财务部主机（172.16.1.1）访问财务服务器上的财务服务（TCP 5555）， 而其他服务不允许访问。 需求分析： 专家ACL可以根据配置的规则对网络中的数据进行过滤。,配置专家ACL,配置专家ACL,Switch(config)#expert access-list extended deny_to_accsrv Switch(config-exp-nacl)#deny any any host 172.16.1.254 host 000d.000d.000d Switch(config-exp-nacl)#permit any any any any Switch(config-exp-nacl)#exit Switch(config)#expert access-list extended allow_to_accsrv5555 Switch(config-exp-nacl)#permit tcp host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 any eq 5555 Switch(config-exp-nacl)#permit icmp host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 host 000d.000d.000d Switch(config-exp-nacl)#deny any any host 172.16.1.254 any Switch(config-exp-nacl)#permit any any any any Switch(config-exp-nacl)#exit,Switch(config)#interface fastethernet 0/2 Switch(config-if)#expert access-group deny_to_accsrv in Switch(config-if)# exit Switch(config)#interface fastethernet 0/3 Switch(config-if)#mac access-group deny_to_accsrv in Switch(config-if)# exit Switch(config)#interface fastethernet 0/1 Switch(config-if)#expert access-group allow_to_accsrv5555 in Switch(config-if)# exit,配置基于时间的ACL,背景描述： 某公司的网络中使用一台路由器提供子网间的互联。子网172.16.1.0/24位公司员工主机所在的网段，其中公司经理的主机地址为172.16.1.254/24；子网10.1.1.0/24为公司服务器网段，其中有两台服务器，1台WWW服务器（10.1.1.100/24）和1台FTP服务器（10.1.1.200/24）。现在要实现基于时间段的访问控制，使公司员工只有在正常上班时间（周一至周五9：0018：00）可以访问FTP服务器，并且只有在下班时间才能访问WWW服务器；而经理的主机可以在任何时间访问这两台服务器。 需求分析： 基于时间的ACL可以根据配置的规则，在不同的时间段对网络中的数据进行过滤。,Router(config)#time-range work-time Router(config-time-range)#periodic weekdays 09:00 to 18:00 Router(config-time-range)#exit Router(config)#ip access-list extended accessctrl Router(config-ext-nacl)#permit ip host 172.16.1.254 10.1.1.0 0.0.0.255 Router(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 10.1.1.200 eq ftp time-range work-time Router(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 10.1.1.200 eq ftp-data time-range work-time Router(config-ext-nacl)#deny tcp 172.16.1.0 0.0.0.255 host 10.1.1.100 eq www time-range work-time Router(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 10.1.1.100 eq www Router(config-ext-nacl)#exit,router(config)#interface fastethernet 0/0 router(config-if)#ip access-group accessctrl in Switch(config-if)# end,