任务一 基础访问控制列表
信科公司有多个部门,每个部门都用VLAN进行了分隔,现在公司要求:允许人事部可以访问财务部,公司网络管理员决定通过三层交换机(DCRS-5650-28)利用IP标准访问控制列表来实现此功能。公司VLAN的划分及IP地址的使用如表5-1所示。
表5-1 在交换机中划分VLAN端口与IP地址
| 部门 |
VLAN |
交换机端口 |
IP地址 |
网关 |
| 财务部 |
10 |
0/0/1~0/0/5 |
192.168.10.0/21 |
192.168.10.254 |
| 人事部 |
20 |
0/0/6~0/0/10 |
192.168.20.0/24 |
192.168.20.254 |
| 销售部 |
30 |
0/0/11~0/0/15 |
192.168.30.0/24 |
192.168.30.254 |
| 客服部 |
40 |
0/0/16~0/0/20 |
192.168.40.0/24 |
192.168.40.254 |
本任务的网络拓扑图如图5-3所示。
图5-3 网络拓扑图
在交换机中配置标准IP访问控制列表的具体操作如下:
步骤1 参照表5-1分别创建VLAN并配置其IP地址,同时在每个VLAN中接上一台计算机,并为其设置好IP地址。
交换机基础配置:
<Huawei>sys
[Huawei]sysname SW1
[SW1]user-interface console 0
[SW1-ui-console0]idle-timeout 0 0
[SW1-ui-console0]q
划分VLAN代码如下:
[SW1]vlan batch 10 20 30 40
[SW1]port-group group-member g0/0/1 to g0/0/5
[SW1-port-group]port link-type access
[SW1-port-group]port default vlan 10
[SW1-port-group]q
[SW1]port-group group-member g0/0/6 to g0/0/10
[SW1-port-group]port link-type access
[SW1-port-group]port default vlan 20
[SW1-port-group]q
[SW1]port-group group-member g0/0/11 to g0/0/15
[SW1-port-group]port link-type access
[SW1-port-group]port link-type access
[SW1-port-group]port default vlan 30
[SW1-port-group]q
[SW1]port-group group-member g0/0/16 to g0/0/20
[SW1-port-group]port link-type access
[SW1-port-group]port default vlan 40
[SW1-port-group]q
[SW1]int vlanif 10
[SW1-Vlanif10]ip add 192.168.10.254 24
[SW1-Vlanif10]int vlanif 20
[SW1-Vlanif20]ip add 192.168.20.254 24
[SW1-Vlanif20]int vlanif 30
[SW1-Vlanif30]ip add 192.168.30.254 24
[SW1-Vlanif30]int vlanif 40
[SW1-Vlanif40]ip add 192.168.40.254 24
[SW1-Vlanif40]q
[SW1]
步骤2 测试连通性:
步骤3 创建标准访问控制列表,代码如下:
[SW1]acl 2000
[SW1-acl-basic-2000]rule permit source 192.168.20.10 0
[SW1-acl-basic-2000]rule deny
[SW1-acl-basic-2000]dis this
#
acl number 2000
rule 5 permit source 192.168.20.10 0
rule 10 deny
#
return
[SW1-acl-basic-2000]q
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
[SW1-GigabitEthernet0/0/1]q
[SW1]步骤4 测试连通性:
