利用IP扩展访问列表实现应用服务的访问限制

【实验名称】  www.2cto.com  

命名的扩展IP访问列表

【实验目的】

掌握在交换机上命名的扩展IP访问列表规则及配置

【实验功能】

实现网段间互相访问的安全控制

【实验设备】

三层交换机（1台）、PC（3台）、直连线（3条）

【实验拓扑】

  www.2cto.com  

【实验步骤】

Switch1

Switch>enable

Switch#configure terminal

Switch(config)#vlan 5

Switch(config-vlan)#exit

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#vlan 15

Switch(config-vlan)#exit

Switch(config)#interface vlan 5

Switch(config-if)#no shutdown

Switch(config-if)#ip address 172.16.5.1 255.255.255.0

Switch(config-if)#exit

Switch(config)#interface vlan 10

Switch(config-if)#no shutdown

Switch(config-if)#ip address 172.16.10.1 255.255.255.0

Switch(config-if)#exit

Switch(config)#interface vlan 15

Switch(config-if)#no shutdown

Switch(config-if)#ip address 172.16.15.1 255.255.255.0

配置完成后！全网互联互通

接下来本章节重点！

 利用IP扩展访问列表实现应用服务的访问限制

我们这里就把 限制学生机访问服务器的WWW服务为例 来配置！ （其余都大同小异）

Switch(config)#ip access-list extended cisco  （设置扩展列表并命名为 cisco）
Switch(config-ext-nacl)#deny tcp 172.16.5.0 0.0.0.255 172.16.15.0 0.0.0.255 eq www 

（拒绝172.16.5.0 这个网段 访问172.16.15.0 这个网段的WWW服务(可以写HTTP或则80)。注意用反掩码）
Switch(config-ext-nacl)#permit ip any any （deny(拒绝)了某个网段后要peimit其他网段）
Switch(config-ext-nacl)#exit
Switch(config)#interface vlan 5
Switch(config-if)#ip access-group cisco in  （把cisco扩展列表应用到vlan5口的in方向）
  www.2cto.com  

接下来我们探讨下 为什么要放在vlan 5接口！

这个拓扑图反映不出来！ 我们试想一下 如果在VLAN5 和这个配置命名扩展列表的交换机中间放置N个交换机

VLAN5 要访问VLAN15的WWW服务！然后VLAN5里的PC发送数据包，途中经过了N个交换机之后到达这个配置命名扩展列表的交换机，然后这个交换机查找扩展列表 发现阻止了！然后把数据包丢掉  这样是不是浪费了带宽呢？

所以我们把扩展访问控制列表做在被限制的网段 最近的那个端口！ 此图中最近的就是vlan 5接口！

大家仔细琢磨一下！