#网络安全技术实现#

#任务三扩展访问控制列表的控制3#

#1配置计算机的IP 地址、子网掩码和网关

#2配置Switch-A的主机名称，创建vlan 10,20,30,并将Fa0/1划入vlan 10，Fa0/2划入vlan 20，G0/1划入vlan 30

Switch(config)#hostname Switch-A

Switch-A(config)#vlan 10

Switch-A(config-if)#exit

Switch-A(config)#vlan 20

Switch-A(config-if)#exit

Switch-A(config)#vlan 30

Switch-A(config-if)#exit

Switch-A(config)#int fa0/1

Switch-A(config-if)#switchport mode access

Switch-A(config-if)#switchport access vlan 10

Switch-A(config)#int fa0/2

Switch-A(config-if)#switchport mode access

Switch-A(config-if)#switchport access vlan 20

Switch-A(config)#int g0/1

Switch-A(config-if)#switchport mode access

Switch-A(config-if)#switchport access vlan 30

Switch-A(config-if)#exit

#3在Switch-A上为vlan 10，vlan 20和vlan 30的SVI接口配置IP地址，并启用交换机的路由功能

Switch-A(config)#int vlan 10

Switch-A(config-if)#ip add 192.168.1.1 255.255.255.0

Switch-A(config-if)#no shutdown

Switch-A(config)#int vlan 20

Switch-A(config-if)#ip add 192.168.2.1 255.255.255.0

Switch-A(config-if)#no shutdown

Switch-A(config)#int vlan 30

Switch-A(config-if)#ip add 192.168.3.1 255.255.255.0

Switch-A(config-if)#no shutdown

Switch-A(config-if)#exit

Switch-A(config)#ip routing

#4测试PC1（职工宿舍）到服务器的应用访问

测试PC1（职工宿舍）到FTP的访问，发现是可以访问的，用户名cisco，密码cisco

测试PC1（职工宿舍）到Web的访问，发现是可以访问的

#5配置扩展访问控制列表，针对服务器的访问流量进行控制

Switch-A(config)#access-list 101 permit tcp 192.168.1.0  0.0.0.255  host 192.168.3.1 eq 21  

！定义扩展ACL，允许行政部对FTP的访问

Switch-A(config)#access-list 101 permit tcp 192.168.1.0  0.0.0.255  host 192.168.3.1 eq 20

！定义扩展ACL，允许行政部对FTP的访问

Switch-A(config)#access-list 101 permit tcp 192.168.1.0  0.0.0.255  host 192.168.3.1 gt 1024

！定义扩展ACL，允许行政部对服务器端口号在1024以上的TCP流量通过，此规则主要针对在PASV模式下允许FTP传输

Switch-A(config)#access-list 101 permit tcp 192.168.0.0  0.0.255.255  host 192.168.3.1 eq www

！定义扩展ACL，允许公司各部门对Web服务器进行访问

Switch-A(config)#access-list 101 deny ip any any    ！禁止其他数据流量

Switch-A(config)#int vlan 30     ！进入服务器所在vlan

Switch-A(config-if)#ip access-group 101 out      ！将ACL应用到vlan 30的出口方向

Switch-A(config-if)#exit

#6测试公司各部门到PC2（服务器）的应用访问

测试PC0（行政部）到FTP的访问，发现是可以访问的

测试PC0（行政部）到PC2(服务器)的连通性，发现是无法连通的

测试PC0（行政部）到PC2(服务器)的Web的访问，发现是可以连通的

测试PC1（职工宿舍）到FTP的访问，发现是不能访问的

测试PC1（职工宿舍）到Web的访问，发现是可以访问的

#7查看访问控制列表信息

Switch-A#show access-lists 101