要求：

配置全网通

配置扩展ACL 实现

只允许网管区 2.0 网段通过telnet 登录 设备 用户名为benet 密码为 test

只有网络管理员才能访问远程桌面 telnet ssh 登录 服务器

要求所有部门之间不能互通 但可以和网络管理员互通

公司信息安全员 可以访问服务器但不能 访问internet

外网只能访问特定服务器的特定服务

要求：

配置全网通

配置扩展ACL 实现

只允许网管区 2.0 网段通过telnet 登录 设备 用户名为benet  密码为 test

Switch(config)#access-list 1 permit 192.168.2.0 0.0.0.255

Switch(config)#username benet password test

Switch(config)#line vty 0 4

Switch(config-line)#login local

Switch(config-line)#access-class 1 in

Switch(config-line)#exit

只有网络管理员才能访问远程桌面 telnet  ssh 登录 服务器

外网只能访问特定服务器的特定服务

access-list 100 permit ip 192.168.2.0 0.0.0.255 host 192.168.100.2

access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 3389

access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 23

access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 22

access-list 100 permit ip 192.168.0.0 0.0.255.255 host 192.168.100.2

access-list 100 permit tcp any host 192.168.100.2 eq 80

将 acl 100 应用到 vlan 100 的出口

int vlan 100

ip  access-group  100  out

要求所有部门之间不能互通   但可以和网络管理员互通

access-list 101 permit ip 192.168.3.0 0.0.0.255 host 192.168.3.1

access-list 101 permit ip 192.168.3.0 0.0.0.255 host 192.168.100.2

access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 101 deny ip any any

将 acl 101 应用到 vlan 3 的入口

int vlan 3

ip  access-group  101  in

公司信息安全员 可以访问服务器但不能 访问internet

access-list 102 permit ip 192.168.4.0 0.0.0.255 host 192.168.4.1

access-list 102 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 102 permit ip 192.168.4.0 0.0.0.255 host 192.168.100.2

access-list 102 deny ip any any

将 acl 102 应用到 vlan 4 的入口

int vlan 4

ip  access-group  102  in

讲解：

permit ：允许

deny：拒绝

in：入口

out：出口

host：后面的是主机地址

ip后面的是网段地址

100：代表组号

标准：1~99

扩展：100~199

access-list 100 permit ip 192.168.2.0 0.0.0.255 host 192.168.100.2