當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

100+人的企业IP怎么进行安全配置？

發布時間：2025/3/20 编程问答 24 豆豆

生活随笔收集整理的這篇文章主要介紹了 100+人的企业IP怎么进行安全配置？小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

學習目標

·?掌握高級ACL的配置方法

·?掌握ACL在接口下的應用方法

拓撲圖

圖7.1 配置ACL過濾企業數據實驗拓撲圖

場景

企業部署了三個網絡，其中R2連接的是公司總部網絡，R1和R3分別為兩個不同分支網絡的設備，這三臺路由器通過廣域網相連。你需要控制員工使用Telnet和FTP服務的權限，R1所在分支的員工只允許訪問公司總部網絡中的Telnet服務器，R3所在分支的員工只允許訪問FTP服務器。

操作步驟

步驟一?實驗環境準備

為了保證實驗結果的準確性，確保設備以空配置啟動。

配置R1<Huawei>system-view[Huawei]sysname R1配置R2<Huawei>system-view[Huawei]sysname R2配置R3<Huawei>system-view[Huawei]sysname R3配置R4<Huawei>system-view[Huawei]sysname R4.telnet.server配置R5<Huawei>system-view[Huawei]sysname R5.ftp.server

步驟二?配置IP地址

按照拓撲圖中所示網絡的地址進行IP編址的配置。

配置R1

[R1]interface GigabitEthernet 0/0/0[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 24[R1-GigabitEthernet0/0/0]undo shutdown[R1-GigabitEthernet0/0/0]quit[R1]interface GigabitEthernet 0/0/1[R1-GigabitEthernet0/0/1]ip address 10.1.12.1 24[R1-GigabitEthernet0/0/1]undo shutdown[R1-GigabitEthernet0/0/1]quit[R1]interface GigabitEthernet 0/0/2[R1-GigabitEthernet0/0/2]ip address 10.1.13.1 24[R1-GigabitEthernet0/0/2]undo shutdown[R1-GigabitEthernet0/0/2]quit[R1]

?配置R2

[R2]interface GigabitEthernet 0/0/1[R2-GigabitEthernet0/0/1]ip address 10.1.12.2 24[R2-GigabitEthernet0/0/1]quit[R2]interface LoopBack 0[R2-LoopBack0]ip address 172.16.1.254 24[R2-LoopBack0]quit[R2]

配置R3

[R3]interface GigabitEthernet 0/0/1[R3-GigabitEthernet0/0/1]ip address 10.1.13.3 24[R3-GigabitEthernet0/0/1]quit[R3]interface LoopBack 0[R3-LoopBack0]ip address 192.168.1.254 24[R3-LoopBack0]quit[R3]

配置R4

[R4.telnet.server]interface GigabitEthernet 0/0/1[R4.telnet.server-GigabitEthernet0/0/1]ip address 10.1.1.100 24[R4.telnet.server-GigabitEthernet0/0/1]quit[R4.telnet.server]

配置R5

[R5.ftp.server]interface GigabitEthernet 0/0/1[R5.ftp.server-GigabitEthernet0/0/1]ip address 10.1.1.200 24[R5.ftp.server-GigabitEthernet0/0/1]quit[R5.ftp.server]

步驟三?配置R4作為Telnet服務器

[R4.telnet.server]telnet server enable[R4.telnet.server]user-interface vty 0 4[R4.telnet.server-ui-vty0-4]authentication-mode passwordPlease configure the login password (maximum length 16):huawei123[R4.telnet.server-ui-vty0-4]user privilege level 15[R4.telnet.server-ui-vty0-4]protocol inbound all[R4.telnet.server-ui-vty0-4]quit[R4.telnet.server]

步驟四?配置R5作為FTP服務器

[R5.ftp.server]ftp server enable[R5.ftp.server]aaa[R5.ftp.server-aaa]local-user huawei password cipher huawei123[R5.ftp.server-aaa]local-user huawei service-type ftp[R5.ftp.server-aaa]local-user huawei privilege level 15[R5.ftp.server-aaa]local-user huawei ftp-directory flash:[R5.ftp.server-aaa]quit[R5.ftp.server]

步驟五?配置OSPF使網絡互通

在R1、R2和R3上配置OSPF，三臺設備均在區域0中，并發布各自的直連網段信息，讓整個網絡可以互連互通。

配置R1[R1]ospf[R1-ospf-1]area 0[R1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255[R1-ospf-1-area-0.0.0.0]network 10.1.12.0 0.0.0.255[R1-ospf-1-area-0.0.0.0]network 10.1.13.0 0.0.0.255配置R2[R2]ospf[R2-ospf-1]area 0[R2-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255[R2-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255配置R3[R3]ospf[R3-ospf-1]area 0[R3-ospf-1-area-0.0.0.0]network 10.1.13.0 0.0.0.255[R3-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255

在R4和R5上配置缺省靜態路由，指定下一跳為各自連接的路由器網關。

[R4]ip route-static 0.0.0.0 0.0.0.0 10.1.1.254[R5]ip route-static 0.0.0.0 0.0.0.0 10.1.1.254

檢測網絡的連通性。

[R2]ping -a 172.16.1.254 10.1.1.100 PING 10.1.1.100: 56 data bytes, press CTRL_C to break Reply from 10.1.1.100: bytes=56 Sequence=1 ttl=254 time=140 ms Reply from 10.1.1.100: bytes=56 Sequence=2 ttl=254 time=40 ms Reply from 10.1.1.100: bytes=56 Sequence=3 ttl=254 time=50 ms Reply from 10.1.1.100: bytes=56 Sequence=4 ttl=254 time=60 ms Reply from 10.1.1.100: bytes=56 Sequence=5 ttl=254 time=40 ms
[R3]ping -a 192.168.1.254 10.1.1.200 PING 10.1.1.200: 56 data bytes, press CTRL_C to break Reply from 10.1.1.200: bytes=56 Sequence=1 ttl=254 time=50 ms Reply from 10.1.1.200: bytes=56 Sequence=2 ttl=254 time=80 ms Reply from 10.1.1.200: bytes=56 Sequence=3 ttl=254 time=40 ms Reply from 10.1.1.200: bytes=56 Sequence=4 ttl=254 time=60 msReply from 10.1.1.200: bytes=56 Sequence=5 ttl=254 time=40 ms

到步驟五為止，R2、R3以loopback0接口地址為源都應該可以訪問R4的telnet和R5的FTP服務。

在R2上測試telnet telnet –a 172.16.1.254 10.1.1.100在R2上測試ftp ftp –a 172.16.1.254 10.1.1.200

在R3上測試telnet

telnet –a 192.168.1.254 10.1.1.100

在R3上測試ftp

ftp –a 192.168.1.254 10.1.1.200

步驟六?配置ACL過濾報文

在R1上配置ACL，只允許R2以172.16.1.254為源訪問Telnet服務器，只允許R3以192.168.1.254為源訪問FTP服務器。[R1]acl 3000[R1-acl-adv-3000]rule 5 permit tcp source 172.16.1.254 0.0.0.0 destination 10.1.1.100 0.0.0.0 destination-port eq 23[R1-acl-adv-3000]rule 10 permit tcp source 192.168.1.254 0.0.0.0 destination 10.1.1.200 0.0.0.0 destination-port range 20 21[R1-acl-adv-3000]rule 15 permit ospf[R1-acl-adv-3000]rule 20 deny ip source any[R1-acl-adv-3000]quit在R1的G0/0/0接口outbound應用ACL。[R1]interface GigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000

驗證ACL的應用結果。

在R2上測試telnet

<R2>telnet -a 172.16.1.254 10.1.1.100 <正常訪問> Press CTRL_] to quit telnet mode Trying 10.1.1.100 ... Connected to 10.1.1.100 ...Login authenticationPassword: 輸入密碼huawei123<R4.telnet.server>在R2上測試ftp<R2>ftp -a 172.16.1.254 10.1.1.200 <無法訪問>在R3上測試telnet<R3>telnet -a 192.168.1.254 10.1.1.100 <無法訪問><R3>ftp -a 192.168.1.254 10.1.1.200 <正常訪問><R3>ftp -a 192.168.1.254 10.1.1.200Trying 10.1.1.200 ...Press CTRL+K to abortConnected to 10.1.1.200.220 FTP service ready.User(10.1.1.200:(none)):huawei 輸入用戶huawei331 Password required for huawei.Enter password: 輸入密碼huawei123230 User logged in.[R3-ftp] 已正常登錄進來[R3-ftp]bye221?Server?closing.
<R3>注意：可以執行bye命令，關閉FTP連接。