100+人的企业IP怎么进行安全配置 ?
学习目标
· 掌握高级ACL的配置方法
· 掌握ACL在接口下的应用方法
拓扑图
图7.1 配置ACL过滤企业数据实验拓扑图
场景
企业部署了三个网络,其中R2连接的是公司总部网络,R1和R3分别为两个不同分支网络的设备,这三台路由器通过广域网相连。你需要控制员工使用Telnet和FTP服务的权限,R1所在分支的员工只允许访问公司总部网络中的Telnet服务器,R3所在分支的员工只允许访问FTP服务器。
操作步骤
步骤一 实验环境准备
为了保证实验结果的准确性,确保设备以空配置启动。
配置R1<Huawei>system-view[Huawei]sysname R1配置R2<Huawei>system-view[Huawei]sysname R2配置R3<Huawei>system-view[Huawei]sysname R3配置R4<Huawei>system-view[Huawei]sysname R4.telnet.server配置R5<Huawei>system-view[Huawei]sysname R5.ftp.server
步骤二 配置IP地址
按照拓扑图中所示网络的地址进行IP编址的配置。
配置R1
[R1]interface GigabitEthernet 0/0/0[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 24[R1-GigabitEthernet0/0/0]undo shutdown[R1-GigabitEthernet0/0/0]quit[R1]interface GigabitEthernet 0/0/1[R1-GigabitEthernet0/0/1]ip address 10.1.12.1 24[R1-GigabitEthernet0/0/1]undo shutdown[R1-GigabitEthernet0/0/1]quit[R1]interface GigabitEthernet 0/0/2[R1-GigabitEthernet0/0/2]ip address 10.1.13.1 24[R1-GigabitEthernet0/0/2]undo shutdown[R1-GigabitEthernet0/0/2]quit[R1]
配置R2
[R2]interface GigabitEthernet 0/0/1[R2-GigabitEthernet0/0/1]ip address 10.1.12.2 24[R2-GigabitEthernet0/0/1]quit[R2]interface LoopBack 0[R2-LoopBack0]ip address 172.16.1.254 24[R2-LoopBack0]quit[R2]
配置R3
[R3]interface GigabitEthernet 0/0/1[R3-GigabitEthernet0/0/1]ip address 10.1.13.3 24[R3-GigabitEthernet0/0/1]quit[R3]interface LoopBack 0[R3-LoopBack0]ip address 192.168.1.254 24[R3-LoopBack0]quit[R3]
配置R4
[R4.telnet.server]interface GigabitEthernet 0/0/1[R4.telnet.server-GigabitEthernet0/0/1]ip address 10.1.1.100 24[R4.telnet.server-GigabitEthernet0/0/1]quit[R4.telnet.server]
配置R5
[R5.ftp.server]interface GigabitEthernet 0/0/1[R5.ftp.server-GigabitEthernet0/0/1]ip address 10.1.1.200 24[R5.ftp.server-GigabitEthernet0/0/1]quit[R5.ftp.server]
步骤三 配置R4作为Telnet服务器
[R4.telnet.server]telnet server enable[R4.telnet.server]user-interface vty 0 4[R4.telnet.server-ui-vty0-4]authentication-mode passwordPlease configure the login password (maximum length 16):huawei123[R4.telnet.server-ui-vty0-4]user privilege level 15[R4.telnet.server-ui-vty0-4]protocol inbound all[R4.telnet.server-ui-vty0-4]quit[R4.telnet.server]
步骤四 配置R5作为FTP服务器
[R5.ftp.server]ftp server enable[R5.ftp.server]aaa[R5.ftp.server-aaa]local-user huawei password cipher huawei123[R5.ftp.server-aaa]local-user huawei service-type ftp[R5.ftp.server-aaa]local-user huawei privilege level 15[R5.ftp.server-aaa]local-user huawei ftp-directory flash:[R5.ftp.server-aaa]quit[R5.ftp.server]
步骤五 配置OSPF使网络互通
在R1、R2和R3上配置OSPF,三台设备均在区域0中,并发布各自的直连网段信息,让整个网络可以互连互通。
配置R1[R1]ospf[R1-ospf-1]area 0[R1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255[R1-ospf-1-area-0.0.0.0]network 10.1.12.0 0.0.0.255[R1-ospf-1-area-0.0.0.0]network 10.1.13.0 0.0.0.255配置R2[R2]ospf[R2-ospf-1]area 0[R2-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255[R2-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255配置R3[R3]ospf[R3-ospf-1]area 0[R3-ospf-1-area-0.0.0.0]network 10.1.13.0 0.0.0.255[R3-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
在R4和R5上配置缺省静态路由,指定下一跳为各自连接的路由器网关。
[R4]ip route-static 0.0.0.0 0.0.0.0 10.1.1.254[R5]ip route-static 0.0.0.0 0.0.0.0 10.1.1.254
检测网络的连通性。
[R2]ping -a 172.16.1.254 10.1.1.100 PING 10.1.1.100: 56 data bytes, press CTRL_C to break Reply from 10.1.1.100: bytes=56 Sequence=1 ttl=254 time=140 ms Reply from 10.1.1.100: bytes=56 Sequence=2 ttl=254 time=40 ms Reply from 10.1.1.100: bytes=56 Sequence=3 ttl=254 time=50 ms Reply from 10.1.1.100: bytes=56 Sequence=4 ttl=254 time=60 ms Reply from 10.1.1.100: bytes=56 Sequence=5 ttl=254 time=40 ms
[R3]ping -a 192.168.1.254 10.1.1.200 PING 10.1.1.200: 56 data bytes, press CTRL_C to break Reply from 10.1.1.200: bytes=56 Sequence=1 ttl=254 time=50 ms Reply from 10.1.1.200: bytes=56 Sequence=2 ttl=254 time=80 ms Reply from 10.1.1.200: bytes=56 Sequence=3 ttl=254 time=40 ms Reply from 10.1.1.200: bytes=56 Sequence=4 ttl=254 time=60 msReply from 10.1.1.200: bytes=56 Sequence=5 ttl=254 time=40 ms
到步骤五为止,R2、R3以loopback0接口地址为源都应该可以访问R4的telnet和R5的FTP服务。
在R2上测试telnet telnet –a 172.16.1.254 10.1.1.100在R2上测试ftp ftp –a 172.16.1.254 10.1.1.200
在R3上测试telnet
telnet –a 192.168.1.254 10.1.1.100
在R3上测试ftp
ftp –a 192.168.1.254 10.1.1.200
步骤六 配置ACL过滤报文
在R1上配置ACL,只允许R2以172.16.1.254为源访问Telnet服务器,只允许R3以192.168.1.254为源访问FTP服务器。[R1]acl 3000[R1-acl-adv-3000]rule 5 permit tcp source 172.16.1.254 0.0.0.0 destination 10.1.1.100 0.0.0.0 destination-port eq 23[R1-acl-adv-3000]rule 10 permit tcp source 192.168.1.254 0.0.0.0 destination 10.1.1.200 0.0.0.0 destination-port range 20 21[R1-acl-adv-3000]rule 15 permit ospf[R1-acl-adv-3000]rule 20 deny ip source any[R1-acl-adv-3000]quit在R1的G0/0/0接口outbound应用ACL。[R1]interface GigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
验证ACL的应用结果。
在R2上测试telnet
<R2>telnet -a 172.16.1.254 10.1.1.100 <正常访问> Press CTRL_] to quit telnet mode Trying 10.1.1.100 ... Connected to 10.1.1.100 ...Login authenticationPassword: 输入密码huawei123<R4.telnet.server>在R2上测试ftp<R2>ftp -a 172.16.1.254 10.1.1.200 <无法访问>在R3上测试telnet<R3>telnet -a 192.168.1.254 10.1.1.100 <无法访问><R3>ftp -a 192.168.1.254 10.1.1.200 <正常访问><R3>ftp -a 192.168.1.254 10.1.1.200Trying 10.1.1.200 ...Press CTRL+K to abortConnected to 10.1.1.200.220 FTP service ready.User(10.1.1.200:(none)):huawei 输入用户huawei331 Password required for huawei.Enter password: 输入密码huawei123230 User logged in.[R3-ftp] 已正常登录进来[R3-ftp]bye221 Server closing.
<R3>注意:可以执行bye命令,关闭FTP连接。
附加练习:分析并验证
为什么FTP要求ACL定义两个端口?
应在源端网络还是目标网络配置基本和高级ACL,为什么?
配置文件
<R1>display current-configuration
总结
以上是生活随笔为你收集整理的100+人的企业IP怎么进行安全配置 ?的全部内容,希望文章能够帮你解决所遇到的问题。
- 上一篇: 教你如何在 Linux 上为 SSH 登
- 下一篇: 【福利】IT学习视频免费送:思科/华为、