首页 理论教育网络设备实训:交换机标准ACL命名

网络设备实训:交换机标准ACL命名

2023-11-17 理论教育 版权反馈
【摘要】:实训目的通过以下实训,理解并掌握标准命名的ACL的配置方法。如图5-11所示,在S3760和S2126上分别划分两个基于端口的VLAN:VLAN 100,VLAN 200。图5-11交换机上标准命名的ACLS3760的配置如下:S3760端口F 0/1设置成Trunk口。PC 1、PC 2的网络设置为:PC 1:192.168.100.11/24 网关192.168.100.1PC 2:192.168.200.22/24 网关192.168.200.1要求实现:不配置ACL,PC 1和PC 2都能通过交换机S3760与外部网络通信;配置ACL后,VLAN 100的主机不能连接到外部网络。实训设备RG-S3760交换机1台,RG-S2126交换机1台,PC 2台,直通网线若干。

实训目的

通过以下实训,理解并掌握标准命名的ACL的配置方法。

如图5-11所示,在S3760和S2126上分别划分两个基于端口的VLAN:VLAN 100,VLAN 200。

图5-11 交换机上标准命名的ACL

S3760的配置如下:

S3760端口F 0/1设置成Trunk口。

VLAN 100:192.168.100.1 255.255.255.0

VLAN 200:192.168.200.1 255.255.255.0

S2126的配置如下:

VLAN端口成员:VLAN 100 1—8,VLAN 200 9—16。

F 0/24设置为Trunk口。

PC 1、PC 2的网络设置为:

PC 1:192.168.100.11/24 网关192.168.100.1

PC 2:192.168.200.22/24 网关192.168.200.1

要求实现:不配置ACL,PC 1和PC 2都能通过交换机S3760与外部网络通信;配置ACL后,VLAN 100的主机不能连接到外部网络。

实训设备

RG-S3760交换机1台,RG-S2126交换机1台,PC 2台,直通网线若干。

实训步骤

首先按实训拓扑图连接各设备,然后按以下步骤进行功能配置。

1.交换机S2126恢复出厂设置,在交换机中创建VLAN 100和VLAN 200,并添加端口

S2126(Config)#Vlan 100

S2126(Config-Vlan)#exit

S2126(Config)# interface range fa 0/1-8

S2126(Config-if-range)# switchport access vlan 100

S2126(Config-if-range)#exit

S2126(Config)#Vlan 200

S2126(Config-Vlan)#exit

S2126(Config)#interface range fa0/9-16

S2126(Config-if-range)# switchport access Vlan 200

S2126(Config)#exit

2.设置交换机Trunk端口

交换机S2126:

S2126(Config)#interface fa 0/24

S2126(Config-if)#switchportmode trunk

S2126(Config-if)#exit

S2126(Config)#

交换机S3760:

S3760(Config)#Vlan 100

S3760(Config-Vlan)#exit

S3760(Config)#Vlan 200

S3760(Config-Vlan)#exit

S3760(Config)#interface fa 0/1

S3760(Config-if)#switchportmode trunk

S3760(Config-if)#exit

S3760(Config)#

3.S3760添加VLAN地址

S3760(Config)#int Vlan 100

S3760(Config-If)#ip address 192.168.100.1 255.255.255.0

S3760(Config-If)#no shut

S3760(Config-If)#exit

S3760(Config)#int Vlan 200

S3760(Config-If)#ip address 192.168.200.1 255.255.255.0(www.chuimin.cn)

S3760(Config-If)#no shut

S3760(Config-If)#exit

4.不配置ACL验证实验

验证PC 1和PC 2之间可以ping通,而且可以通过交换机S3760与外部网络通信。

5.配置配置访问控制列表

S3760(Config)#ip access-list standard test

S3760(Config-Std-Nacl)#deny 192.168.100.0 0.0.0.255

S3760(Config-Std-Nacl)#permit ip any any

S3760(Config-Std-Nacl)#exit

S3760(Config)#

6.绑定ACL到端口fa 0/1

S3760(Config)#interface fa 0/1

S3760(Config-if)#ip access-group test in

S3760(Config-if)#

7.验证配置

S3760#show access-group

Interface name:Ethernet0/1

Ingress access-list used is test.

通过“ping”命令检验:

PC 1和PC 2不能互相ping通;

在PC 1上ping网关地址192.168.100.1,不通;

在PC2上ping网关地址192.168.200.1,通。

知识拓展

基于时间的ACL

下面通过一个案例学习基于时间的ACL的配置方法。

若某局域网10.1.0.0/16通过一台三层交换机连接到Internet,要求在上班时间内(9:00—18:00)禁止内部员工浏览Internet,禁止使用QQ、MSN,且在2009年6月1号到2号的所有时间内都不允许进行上述操作,但在任何时间都可以允许以其他方式访问Internet。

让我们来分析一下这个需求:浏览Internet现在基本上都是使用Http或Https进行访问,标准端口是TCP/80端口和TCP/443端口。MSN使用TCP/1863端口。QQ登录会使用到TCP、UDP协议的8000这两个端口,还有可能使用到TCP/UDP协议的4000端口进行通信。而且这些软件都能支持代理服务器,目前的代理服务器主要布署在TCP 8080、TCP 3128(HTTP代理)和TCP 1080(socks)这三个端口上。首先理解几个命令的含义:

time-range TR1:定义一个新的时间范围,其中TR1是为该时间范围取的一个名字。

absolute:为绝对时间,只使用一次,可以定义为1993—2035年内的任意一个时点,具体的用法请使用“?”命令查看。

periodic:为周期性重复使用的时间范围的定义。完整格式为“periodic日期关键字开始时间 结束时间”。其中日期关键字的定义如下所示:

Monday,星 期 一;Tuesday,星 期 二;Wednesday,星 期 三;Thursday,星 期 四;Friday,星期五;Saturday,星期六;Sunday,星期天;daily,每天;weekdays,周一至周五;weekend,周末。

配置过程如下:

Switch(config)# time-range TR1

Switch(config-range)# absolute start00:00 1 June 2009 end 00:00 3 June 2009

Switch(config-range)#periodic weekdays start9:00 18:00

Switch(config-range)#exit

Switch(config)# ip access-list extend internet_limit

Switch(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 80 timerange TR1

Switch(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 443 timerange TR1

Switch(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 1863 timerange TR1

Switch(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 8000 timerange TR1

Switch(config-ext-nacl)#deny udp 10.1.0.0 0.0.255.255 any eq 8000 timerange TR1

Switch(config-ext-nacl)#deny udp 10.1.0.0 0.0.255.255 any eq 4000 timerange TR1

Switch(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 3128 timerange TR1

Switch(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 8080 timerange TR1

Switch(config-ext-nacl)#deny tcp 10.1.0.0 0.0.255.255 any eq 1080 timerange TR1

Switch(config-ext-nacl)#permit ip any any

Switch(config-ext-nacl)#exit

Switch(config)#int vlan 1

Switch(config-if)#ip access-group internet_limit out

这样配置后,定义的时间范围就会起作用。

有关网络设备配置与实训的文章

  • 交换机配置命名的扩展ACL实训成果 交换机配置命名的扩展ACL实训成果

    实训目的掌握在交换机上命名的扩展IP访问列表规则及配置,实现网段间互相访问的安全控制。在S3760交换机上连着学校提供WWW和FTP服务的服务器,另外还连接着学生宿舍楼和教工宿舍楼。请做好相关配置。图5-12交换机上配置命名的扩展ACL实训设备S3760交换机1台,PC 3台,直连线3条。图5-13神州数码路由器配置ACLRouter-B#confRouter-B_config#ip access-list standard 1!绑定ACL 1在出的方向2.配置扩展访问控制列表如图5-13所示,配置扩展访问控制列表ACL,禁止PC-A所在的网段对PC-B的远程登录访问。......

    2023-11-17

    详细阅读
  • 配置标准ACL-网络设备配置与实训 配置标准ACL-网络设备配置与实训

    实训目的通过以下案例的配置,掌握路由器上编号的标准IP访问列表规则及配置,实现不同网段间互相访问的安全控制。公司的经理部、财务部门和销售部门分属不同的3个网段,三部门之间用路由器进行信息传递。实训步骤首先按实训拓扑图连接各设备,然后按以下步骤进行功能配置。......

    2023-11-17

    详细阅读
  • 网络设备配置:标准命名ACL指南 网络设备配置:标准命名ACL指南

    配置标准命名的ACL所用命令①定义命名的ACLSwitch#ip access-list standard {name}Switch#{permit|deny}源地址 通配符掩码|any②应用ACL到接口Switch# ip access-group{name}in|out锐捷全系列交换机可针对物理接口和SVI接口应用ACL。针对物理接口,只能配置入栈应用;针对SVI接口,可以配置入栈和出栈应用。标准命名的ACL配置举例设计一个标准命名的ACL,应用在接口F 0/24上,以便阻塞来自一个特定子网192.168.100.0的通信流量,而允许所有其他的通信流量通过,并把它们转发出去。Switch#ip access-list standard task1Switch#deny 192.168.100.0 0.0.0.255Switch#permit anySwitch#interface fa0/24Switch#ip access-group task1 in......

    2023-11-17

    详细阅读
  • 网络设备实训:交换机基本配置! 网络设备实训:交换机基本配置!

    设置交换机的主机名在默认情况下,交换机的主机名通常为“switch”。配置交换机允许Telnet登录为了使交换机允许通过Telnet进行远程配置,而不需要每次都通过本地进行配置,需要对交换机进行一系列的配置。假设默认网关的地址为192.168.1.1,配置命令为:switch#ip default-gateway 192.168.1.1三层交换机端口的配置与二层交换机相比,三层交换机由于兼有二层和三层的功能,因此端口能够在二层端口和三层端口之间进行转换。......

    2023-11-17

    详细阅读
  • 网络设备配置实训:扩展ACL配置示例 网络设备配置实训:扩展ACL配置示例

    某局域网一路由器连接了3个网段,如图5-7所示。图5-7扩展ACL配置拓扑图例设计一个扩展ACL,只允许172.16.4.0网络的WWW通信流量到达网络172.16.3.0,其他通信流量全部拒绝。Router# access-list 101 permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80Router# interface fa1/0Router# ip access-group 101 out设计一个扩展ACL,拒绝172.16.4.0网络的FTP通信流量通过fa1/0到达网络172.16.3.0,其他信息流均可通过。Router# access-list101 deny tcp 172.16.4.0 0.0.0.255 any eq 23Router# access-list101 permit ip any any......

    2023-11-17

    详细阅读
  • 网络设备配置与实训:交换机基本配置 网络设备配置与实训:交换机基本配置

    实训目的通过以下案例的配置,练习交换机的常用管理方式和基本配置命令。同时为了方便管理,交换机允许远程Telnet登录配置。实训步骤1.按实验拓扑图1-12正确连接网线并进行配置。交换机Office的配置:switch#configswitch#hostname officeoffice#enable secret level 1 0 1234567!知识拓展神州数码交换机启用Telnet远程管理的配置方法不同厂家的交换机可能使用不同的操作系统或不同的命令格式,与锐捷产品相比,神州数码的交换机在启用Telnet远程管理服务时,必须为远程用户设置用户名和密码。......

    2023-11-17

    详细阅读
  • 路由器配置扩展ACL-网络设备实训 路由器配置扩展ACL-网络设备实训

    实训目的通过本实训,掌握扩展访问列表的配置,理解扩展访问列表丰富的过滤条件。如图5-8所示,各设备IP地址设计如下,通过扩展ACL技术禁止192.168.0.0/24到PC-B的远程登入,但能ping通。Router-A:S1/2192.168.1.1/24;F1/0 192.168.0.1/24Router-B:S1/2192.168.1.2/24;F1/0 192.168.2.1/24PC-A:192.168.0.2/24 网关192.168.0.1PC-B:192.168.2.2/24 网关192.168.2.1图5-8扩展ACL配置实训图例实训设备路由器RG-R1762 2台,PC 2台,V.35线缆2条,网线2条。实训步骤首先按实训拓扑图连接各设备,然后按以下步骤进行功能配置。图5-10PC-A对PC-B能ping通但不能Telnet知识拓展常见网络......

    2023-11-17

    详细阅读
  • 网络设备配置与实训:单交换机VLAN划分 网络设备配置与实训:单交换机VLAN划分

    实训目的熟悉基于端口的单交换机VLAN的划分方法,以及划分后对网络结构的影响。知识拓展神州数码交换机VLAN的划分与锐捷产品相比,神州数码的交换机在根据交换机端口划分VLAN时,命令稍有不同。图1-14跨交换机的VLAN第一个解决办法是在两台交换机上为每一个VLAN分配一个端口,用双绞线连接在一起,作为VLAN的通信链路。默认情况下,交换机的Trunk链路允许所有VLAN使用。......

    2023-11-17

    详细阅读