【正文】 由十以下幾條 ACL 規(guī)則限制了大部分的通 信端口，故沒(méi)有在實(shí)際實(shí)驗(yàn)中應(yīng)用，因?yàn)闀?huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的通信收到影響。 封堵常見(jiàn)病毒端口 大多數(shù)病毒都是通過(guò) TCP 的 13 13 13 13 13 44 13 13 3 13 13 44 4444 端口， UDP 的 6 4444 端口來(lái)發(fā)動(dòng)攻擊的。 Router(config)accesslist 101 permit ip any any //設(shè)置 ACL,容許其他時(shí)間段和其他條件下的正常訪問(wèn)。 配置任務(wù) :只容許 網(wǎng)段的 用 戶在周末訪問(wèn) 上的 FTP 資源，工作 時(shí)間不能下 載該 FTP 資源。當(dāng)然 也可以定義工作日和周末，具體要使用 periodic 命令。對(duì)于這種情況僅僅通過(guò)發(fā)布通知規(guī)定是不能徹底杜絕員工非法使用的問(wèn)題的，這時(shí)基于時(shí)間的訪問(wèn)控制列表應(yīng)運(yùn)而生。 用 PC0 去 ping PC1 結(jié)果如下圖： 基于時(shí)間的訪問(wèn)控制列表 上自我們介紹了標(biāo)準(zhǔn) ACL 與擴(kuò)展 ACL，實(shí)際上我們數(shù)量掌握了這兩種訪問(wèn)控制列表就可以應(yīng)付大部分過(guò)濾網(wǎng)絡(luò)數(shù)據(jù) 包的要求 了。 Router(config)accesslist 101 permit tcp established //定義 ACL101,容許所有來(lái)自 網(wǎng)段的計(jì) 算機(jī)訪問(wèn) 網(wǎng)段中的計(jì)算機(jī)，前提是 TCP 連接已經(jīng)建 立了的。 采用如圖 53 所 示 的 網(wǎng) 絡(luò) 結(jié) 構(gòu) 。通過(guò)配置反 向 ACL 可以保證 AB 兩個(gè)網(wǎng)段的計(jì)算機(jī)互相 PING, A 可以 PING 通 B 而 B 不能 PING 通 A。 不過(guò)即使再科 學(xué)的訪問(wèn)控制 列表規(guī)則也可能會(huì)因?yàn)槲粗《镜膫鞑ザ鵁o(wú)效，畢竟未知病毒使用的端口是我們無(wú)法估計(jì)的，而且隨著防范病毒數(shù)量 的增多 會(huì)造成訪問(wèn)控制列表規(guī)則過(guò)多，在一定程度上影響了網(wǎng)絡(luò) 訪問(wèn) 速度。 R1(config}ip accesslist standard test R1(configstdnacl}deny host R1(configstdnacl}permit any 擴(kuò)展 ACL 建立擴(kuò)展 ACL 命名為 testl，允許 訪問(wèn)所有 主 機(jī) 80 端 口 ,其他所有主機(jī)禁 止 。 各 部門與財(cái)務(wù)部的 通性 測(cè)試 ， 以銷售部訪問(wèn)財(cái)務(wù)部為例， 結(jié)果如下圖。 部門 VLAN 劃分及編 制方案 企業(yè)辦公區(qū)部門劃分 部門 VLAN 號(hào) IP 網(wǎng)段 銷售部 Vlan1 客戶部 Vlan2 售后服務(wù)部 Vlan3 打印室 Vlan4 經(jīng)理部 財(cái)務(wù)部 企業(yè)生產(chǎn)區(qū)部門劃分 部門 VLAN 號(hào) IP 網(wǎng)段 員工宿舍樓一、二 Vlan1 車間 Vlan2 服務(wù)器群 Vlan3 會(huì)議室 Vlan4 服務(wù)器群地址劃分 服務(wù)器名稱 IP 地址 VLAN 網(wǎng)關(guān) Web Vlan3 WWW、 FTP Vlan3 郵件服務(wù)器 Vlan3 DNS Vlan3 文件服務(wù)器 Vlan3 設(shè)備采購(gòu) 設(shè)備名稱 數(shù)量 資金 （元） CISCO 1841 系列路由器 3 臺(tái) 3*3700=11100 CISCO 2960 系列交換機(jī) 4 臺(tái) 4*3750=15000 CISCO 3560E 系列交換機(jī) 2 臺(tái) 2*21000=42021 服務(wù)器 5 臺(tái) 5*7800=39000 無(wú)線 AP 1 臺(tái) 1*320=320 集線器 1 臺(tái) 1*1580=1580 PC 機(jī) 300 臺(tái) 300*3450=1035000 總計(jì) 114400 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì) 交換機(jī)地址規(guī)劃表 Multilayer Switch 0 地址規(guī)劃表 Multilayer Switch 1 地址規(guī)劃表 路由器地址規(guī)劃表 r0 地址規(guī)劃表 r1 地址規(guī)劃表 r2 地址規(guī)劃表 網(wǎng)絡(luò)設(shè)備配置 Multilayer Switch 0 的相關(guān)配置 Switchen Switchvlan database % Warning: It is remended to configure VLAN from config mode, as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode. Switch(vlan)vlan 2 //創(chuàng)建 vlan2 VLAN 2 added: Name: VLAN0002 Switch(vlan)vlan 3 //創(chuàng)建 vlan3 VLAN 3 added: Name: VLAN0003 Switch(vlan)vlan 4 //創(chuàng)建 vlan4 VLAN 4 added: Name: VLAN0004 Switch(vlan)exit APPLY pleted. Exiting.... Switchconfig t Enter configuration mands, one per line. End with CNTL/Z. Switch(config)int f0/5 //進(jìn)入 f0/5 口 Switch(configif)switchport mode access Switch(configif)switchport access vlan 2 //劃分到 vlan 2 Switch(configif)exit Switch(config)int f0/2 //進(jìn)入 f0/2 口 Switch(configif)switchport access vlan 3 //劃分到 vlan 3 Switch(configif)exit Switch(config)int f0/4 //進(jìn)入 f0/4 口 Switch(configif)switchport access vlan 4 //劃分到 vlan 4 Switch(configif)exit Switch(config)exit Switch %SYS5CONFIG_I: Configured from console by console Switchconfig t Enter configuration mands, one per line. End with CNTL/Z. Switch(config)ip routing //啟用 routing 功能 Switch(config)int f0/1 //進(jìn)入 f0/1 口 Switch(configif)switchport mode trunk //與路由器連接的 f0/1口 設(shè)置為 trunk 口 Switch(configif)end Switch %SYS5CONFIG_I: Configured from console by console Switchconfig t Enter configuration mands, one per line. End with CNTL/Z. Switch(config)int vlan 4 //進(jìn) 入 vlan 4 %LINK5CHANGED: Interface Vlan4, changed state to up %LINEPROTO5UPDOWN: Line protocol on Interface Vlan4, changed state to upSwitch(configif) Switch(configif)ip address //設(shè) 置 IP 地址和子網(wǎng)掩碼 Switch(configif)no shut //將 vlan 4 開(kāi)啟 Switch(configif)exit Switch(config)ip dhcp pool vlan4 //創(chuàng)建一 個(gè) IP 地址池 vlan4 Switch(dhcpconfig)work //設(shè)置 網(wǎng)段范圍 Switch(dhcpconfig)defaultroute //設(shè) 置網(wǎng)關(guān) Switch(dhcpconfig)dnsserver //設(shè) 置 dns Switch(dhcpconfig)exit Switch(config)ip dhcp excludedaddress //設(shè)置無(wú) 線 AP的地址范圍 Switch(config)ip dhcp excludedaddress Switch(config)exit Switch %SYS5CONFIG_I: Configured from console by console r 0 的相關(guān)配置 Routeren Routerconfig t Enter configuration mands, one per line. End with CNTL/Z. Router(config)host r0 //將 路由器命名為 r0 r0(config)int f0/0 r0(configif)no ip address //進(jìn) 入 f0/0 口設(shè)置為無(wú) IP 地址 r0(configif)no shut %LINK5CHANGED: Interface FastEther0/0, changed state to up %LINEPROTO5UPDOWN: Line protocol on Interface FastEther0/0, changed state to up r0(configif)int f0/ //設(shè) 置 f0/0 子端口 f0/ %LINK5CHANGED: Interface FastEther0/, changed state to upr0(configsubif) %LINEPROTO5UPDOWN: Line protocol on Interface FastEther0/, changed state to up r0(configsubif)enca r0(configsubif)encapsulation dot1q 1 r0(configsubif)ip address //在子 端口上配置 IP 地址 r0(configsubif)no shut //將 子端口打開(kāi) r0(configsubif)exit r0(config)int f0/ r0(configsubif) %LINK5CHANGED: Interface FastEther0/, changed state to up %LINEPROTO5UPDOWN: Line protocol on Interface FastEther0/, changed state to up r0(configsubif)encapsulation dot1q 2 r0(configsubif)ip address r0(configsubif)no shut r0(configsubif)exit r0(config)int f0/ %LINK5CHANGED: Interface FastEther0/, changed state to up %LINEPROTO5UPDOWN: Line protocol on Interface FastEther0/, changed state to