访问控制列表的经典案例
|
实验拓扑
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
(1) 请配置ACL实现:既保证经理的访问,又不让其他人访问。
RouterA#configure terminal
RouterA(config)#access-list 1 permit host 192.168.5.1
RouterA(config)#access-list 1 deny any
RouterA(config)#int e0
RouterA(config-if)#ip access-group 1 out
(2) 财务部门为了更好地服务员工,开发了一个WEB站点供员工查询薪资信息。请配置ACL实现:员工既能保证查询到个人的薪资信息,又要保证财务部门核心数据库的安全,杜绝恶意窥探和***。
RouterA(config)# access-list 100 permit ip host 192.168.5.1 any
RouterA(config)# access-list 100 permit ip 192.168.2.0 <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />0.0.0.255 host 192.168.1.2
RouterA(config)# access-list 100 permit ip 192.168.5.0 0.0.0.255 host 192.168.1.2
RouterA(config)# access-list 100 permit ip 192.168.6.0 0.0.0.255 host 192.168.1.2
RouterA(config)# access-list 100 deny ip any any
RouterA(config)#int e0
RouterA(config-if)#ip access-group 100 out
(3) 财务部的WEB服务器出现硬件故障,其WEB站点迁移到了财务部门的数据库服务器上。调整ACL配置策略,要求员工既能保证查询到个人的薪资信息,又要保证能财务部门核心数据库的安全。已知Web服务使用的端口号为80。
RouterA(config)# access-list 100 permit ip host 192.168.5.1 any
RouterA(config)# access-list 100 permit tcp 192.168.2.0 0.0.0.255 host 192.168.100.1 eq 80
RouterA(config)# access-list 100 permit tcp 192.168.5.0 0.0.0.255 host 192.168.100.1 eq 80
RouterA(config)# access-list 100 permit tcp 192.168.6.0 0.0.0.255 host 192.168.100.1 eq 80
RouterA(config)# access-list 100 deny ip any any
RouterA(config)#int e0
RouterA(config-if)#ip access-group 100 out
本文出自 51CTO.COM技术博客
|
转载于:https://blog.51cto.com/517055/308180