2、对外提供公共服务器的服务器,一般建议在接近服务器的交换机上控制对其端口的访问。
3、对于网段间的互访,根据实际情况,可以选择在源或目的网段上做控制,也可以在网络较大的情况,网段互访规则较多的情况下,在中间核心设备上集中部署。
4、对于上下级机构、内外网访问规则间的访问控制,建议在边界设备上集中部署,比如出口路由器,防火墙等。
1、根据问题1,需在在switch3上做acl,其PC3不能访问服务器192.168.3.3,命令如下:
switch3(config)#access-list 100 deny host 192.168.4.4 host 192.168.3.3 //拒绝网络192.168.4.4访问服务器192.168.3.3。
switch3(config)#access-list 100 peimit ip any any //允许其他主机访问。
switch3(config) #interface f0/5
switch3(config-if) #ip access-group 100 in //在路由器f0/5接口入方向下调用此ACL 100。
2、根据问题2,PC0、PC1、PC2之间访问关系,如下命令:
switch3(config) #access-list 101 deny host 192.168.1.2 host 202.135.147.33 //PC0禁止访问外网
switch3(config) #access-list 101 peimit host 192.168.1.2 host 192.168.2.2 //PC0允许访问PC2
switch3(config) #access-list 101 peimit host 192.168.1.3 host 192.168.2.2 //PC1允许访问PC2
switch3(config) #access-list 102 deny 192.168.2.2 0.0.0.0.0 192.168.1.0 0.0.0.255 //PC2禁止访问192.168.1.0网段
switch3(config) #interface f0/2
switch3(config-if) #ip access-group 101 in
switch3(config) #interface f0/3
switch3(config-if) #ip access-group 102 in //分别在switch3上调用acl 101和102。
3、根据问题3,acl分为标准acl和扩展acl,其标准acl访问控制列表号为1-99,扩展acl访问控制列表号为100-199,每条acl下又能创建多条规则,但一个接口下只能调用一条acl。
4、根据问题4,其192.168.1.0 0.0.0.255匹配的是192.168.1.0/24,表示的是192.168.1.0~192.168.1.255地址范围,命令为:
switch3(config) #access-list 103 peimit ip 192.168.0.0 0.0.255.255 any //允许192.168.0.0/16地址访问任何网络。
扩展资料:
ACL可以应用于多种场合,其中最为常见的应用情形如下:
1、过滤邻居设备间传递的路由信息。
2、控制交换访问,以此阻止非法访问设备的行为,如对 Console接口、 Telnet或SSH访问实施控制。
3、控制穿越网络设备的流量和网络访问。
4、通过限制对路由器上某些服务的访问来保护路由器,如HTP、SNMP和NIP等。
5、为DDR和 IPSeC VPN定义感兴趣流。
6、能够以多种方式在IOS中实现QoS(服务质量)特性。
7、在其他安全技术中的扩展应用,如TCP拦截和IOS防火墙。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)