首页 理论教育交换机配置命名的扩展ACL实训成果

交换机配置命名的扩展ACL实训成果

2023-11-17 理论教育 版权反馈
【摘要】:实训目的掌握在交换机上命名的扩展IP访问列表规则及配置,实现网段间互相访问的安全控制。在S3760交换机上连着学校提供WWW和FTP服务的服务器,另外还连接着学生宿舍楼和教工宿舍楼。请做好相关配置。图5-12交换机上配置命名的扩展ACL实训设备S3760交换机1台,PC 3台,直连线3条。图5-13神州数码路由器配置ACLRouter-B#confRouter-B_config#ip access-list standard 1!绑定ACL 1在出的方向2.配置扩展访问控制列表如图5-13所示,配置扩展访问控制列表ACL,禁止PC-A所在的网段对PC-B的远程登录访问。

实训目的

掌握在交换机上命名的扩展IP访问列表规则及配置,实现网段间互相访问的安全控制。

在S3760交换机上连着学校提供WWW和FTP服务的服务器,另外还连接着学生宿舍楼和教工宿舍楼。学校规定学生只能对服务器进行FTP访问,不能进行WWW访问,教工则没有此限制,如图5-12所示。请做好相关配置。

图5-12 交换机上配置命名的扩展ACL

实训设备

S3760交换机1台,PC 3台,直连线3条。

实训步骤

首先按实训拓扑图连接各设备,然后按以下步骤进行功能配置。

1.基本配置

S3760(config)#vlan 10

S3760(config-vlan)#name server

S3760(config)#vlan 20

S3760(config-vlan)#name teachers

S3760(config)#vlan 30

S3760(config-vlan)#name students

S3760(config)#interface f 0/5

S3760(config-if)#switchportmode access

S3760(config-if)#switchport access vlan 10

S3760(config)#interface f 0/10

S3760(config-if)#switchportmode access

S3760(config-if)#switchport access vlan 20

S3760(config)#interface f 0/15

S3760(config-if)#switchportmode access

S3760(config-if)#switchport access vlan 30

S3760(config)#int vlan10

S3760(config-if)#ip add 192.168.10.1 255.255.255.0

S3760(config-if)#no shutdown

S3760(config-if)#exit

S3760(config)#int vlan 20

S3760(config-if)#ip add 192.168.20.1 255.255.255.0

S3760(config-if)#no shutdown

S3760(config-if)#exit

S3760(config)#int vlan 30

S3760(config-if)#ip add 192.168.30.1 255.255.255.0

S3760(config-if)#no shutdown

S3760(config-if)#exit

2.配置命名扩展IP访问控制列表

S3760(config)#ip access-list extended denystudentwww

!定义命名扩展访问列表

S3760(config-ext-nacl)# deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq

www !禁止WWW服务

S3760(config-ext-nacl)# permit ip any any!允许其他服务

3.验证命名扩展ACL信息

S3760#sh ip access-lists denystudentwww

Extended IP access list:denystudentwww

deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq www

permit ip any any

4.在接口下应用访问控制列表

S3760(config)#int vlan 30

S3760(config-if)#ip access-group denystudentwww in

5.验证测试

分别在学生网段和教师宿舍网段使用1台主机,访问Web服务器。测试发现学生网段不能访问网页,教师宿舍网段可以访问网页。

知识拓展

神州数码设备对ACL的配置方法

神州数码设备与锐捷设备对ACL的配置命令大同小异,下面通过几个案例说明基于IP的访问控制列表的配置方法。

1.配置访问控制列表

如图5-13所示,配置标准访问控制列表,禁止PC-A所在的网段对PC-B的访问。已知PC-A是网络192.168.0.0/24中的一台主机,主机PC-B的IP地址是192.168.2.2/24。

图5-13 神州数码路由器配置ACL

Router-B#conf

Router-B_config#ip access-list standard 1(www.chuimin.cn)

!定义标准的访问控制列表

Router-B_config_std_nacl#deny 192.168.0.0 255.255.255.0

Router-B_config_std_nacl#permit any

!因为有隐含的deny any

Router-B_config#int f0/0

!进入到离目标最近的接口

Router-B_config_f0/0#ip access-group 1 out

!绑定ACL 1在出的方向

2.配置扩展访问控制列表

如图5-13所示,配置扩展访问控制列表ACL,禁止PC-A所在的网段对PC-B的远程登录访问。

Router-A#conf

Router-A_config#ip access-list extended 192

!定义扩展访问列表

Router-A_config_ext_nacl#deny tcp 192.168.0.0 255.255.255.0 192.168.2.2 255.255.255.255 eq 23

!设置扩展访问列表,拒绝Telnet

Router-A_config_ext_nacl#permit icmp any any

!允许ping

Router-A_config_ext_nacl#exit

Router-A_config#int f0/0

!进入离源比较近的接口

Router-A_config_f0/0#ip access-group 192 in

!绑定访问列表在In的方向

特别注意:神州数码路由器与主机相连要用交叉线。

3.配置命名标准IP访问列表

如图5-13所示,在交换机A和交换机B上分别划分两个基于端口的VLAN:VLAN 100,VLAN 200。交换机A端口1设置成Trunk口。

VLAN 100:192.168.100.1 255.255.255.0

VLAN 200:192.168.200.1 255.255.255.0

交换机B的配置如下:

VLAN端口成员:VLAN 100 1—8,VLAN 200 9—16。

端口24为Trunk口。

PC 1、PC 2的网络设置为:

PC 1 192.168.100.11 192.168.100.1 255.255.255.0

PC 2 192.168.200.22 192.168.200.1 255.255.255.0

本实验已通过配置实现VLAN 100和VLAN 200内主机互相通信,并通过交换机A连接到互联网。现在要求配置命名标准IP访问列表,实现PC 1所在网段不能上网。

switchA(Config)#firewall enable

switchA(Config)#firewall default permit

switchA(Config)#

switchA(Config)#ip access-list standard test

switchA(Config-Std-Nacl-test)#deny 192.168.100.0 0.0.0.255

switchA(Config-Std-Nacl-test)#exit

switchA(Config)#

switchA(Config)#interface ethernet1/1

switchA(Config-Ethernet1/1)#ip access-group test in

switchA(Config-Ethernet1/1)#

4.配置扩展命名ACL

如图5-14所示,配置扩展命名ACL,禁止PC 2 telnet交换机A。

switchA(Config)#firewall enable

!配置访问控制列表功能开启

switchA(Config)#firewall default permit

!默认动作为全部允许通过

switchA(Config)#ip access-list extended test2

switchA(Config-Ext-Nacl-test2)#deny tcp 192.168.200.0 0.0.0.255

any-destination d-port23

!拒绝192.168.200.0/24 telnet数据

switchA(Config-Ext-Nacl-test2)#

switchA(Config)#interface ethernet1/1

!绑定ACL到各端口

switchA(Config-Ethernet1/1)#ip access-group test2 in

图5-14 神州数码交换机配置ACL

有关网络设备配置与实训的文章

  • 网络设备配置实训:扩展ACL配置示例 网络设备配置实训:扩展ACL配置示例

    某局域网一路由器连接了3个网段,如图5-7所示。图5-7扩展ACL配置拓扑图例设计一个扩展ACL,只允许172.16.4.0网络的WWW通信流量到达网络172.16.3.0,其他通信流量全部拒绝。Router# access-list 101 permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80Router# interface fa1/0Router# ip access-group 101 out设计一个扩展ACL,拒绝172.16.4.0网络的FTP通信流量通过fa1/0到达网络172.16.3.0,其他信息流均可通过。Router# access-list101 deny tcp 172.16.4.0 0.0.0.255 any eq 23Router# access-list101 permit ip any any......

    2023-11-17

    详细阅读
  • 网络设备实训:交换机标准ACL命名 网络设备实训:交换机标准ACL命名

    实训目的通过以下实训,理解并掌握标准命名的ACL的配置方法。如图5-11所示,在S3760和S2126上分别划分两个基于端口的VLAN:VLAN 100,VLAN 200。图5-11交换机上标准命名的ACLS3760的配置如下:S3760端口F 0/1设置成Trunk口。PC 1、PC 2的网络设置为:PC 1:192.168.100.11/24 网关192.168.100.1PC 2:192.168.200.22/24 网关192.168.200.1要求实现:不配置ACL,PC 1和PC 2都能通过交换机S3760与外部网络通信;配置ACL后,VLAN 100的主机不能连接到外部网络。实训设备RG-S3760交换机1台,RG-S2126交换机1台,PC 2台,直通网线若干。......

    2023-11-17

    详细阅读
  • 路由器配置扩展ACL-网络设备实训 路由器配置扩展ACL-网络设备实训

    实训目的通过本实训,掌握扩展访问列表的配置,理解扩展访问列表丰富的过滤条件。如图5-8所示,各设备IP地址设计如下,通过扩展ACL技术禁止192.168.0.0/24到PC-B的远程登入,但能ping通。Router-A:S1/2192.168.1.1/24;F1/0 192.168.0.1/24Router-B:S1/2192.168.1.2/24;F1/0 192.168.2.1/24PC-A:192.168.0.2/24 网关192.168.0.1PC-B:192.168.2.2/24 网关192.168.2.1图5-8扩展ACL配置实训图例实训设备路由器RG-R1762 2台,PC 2台,V.35线缆2条,网线2条。实训步骤首先按实训拓扑图连接各设备,然后按以下步骤进行功能配置。图5-10PC-A对PC-B能ping通但不能Telnet知识拓展常见网络......

    2023-11-17

    详细阅读
  • 网络设备配置:扩展命名的ACL探秘 网络设备配置:扩展命名的ACL探秘

    配置扩展命名ACL所用命令①定义扩展命名的ACLSwitch#ip access-list extended {name}Switch#{permit|deny}协议 源地址 通配符掩码 目的地址通配符掩码[运算符 端口号]②应用ACL到接口Switch# ip access-group{name}in|out扩展命名的ACL配置举例设计一个命名ACL,只拒绝来自特定子网192.168.100.0的FTP和Telnet通信流量通过fa 0/24。Switch#ip access-list extended task2Switch# deny tcp 192.168.100.0 0.0.0.255 any eq 21Switch#deny tcp 192.168.100.0 0.0.0.255 any eq 23Switch#permit ip any anySwitch#exitSwitch#interface fa0/24Switch#ip access-group task2 in......

    2023-11-17

    详细阅读
  • 网络设备配置与实训:交换机基本配置 网络设备配置与实训:交换机基本配置

    实训目的通过以下案例的配置,练习交换机的常用管理方式和基本配置命令。同时为了方便管理,交换机允许远程Telnet登录配置。实训步骤1.按实验拓扑图1-12正确连接网线并进行配置。交换机Office的配置:switch#configswitch#hostname officeoffice#enable secret level 1 0 1234567!知识拓展神州数码交换机启用Telnet远程管理的配置方法不同厂家的交换机可能使用不同的操作系统或不同的命令格式,与锐捷产品相比,神州数码的交换机在启用Telnet远程管理服务时,必须为远程用户设置用户名和密码。......

    2023-11-17

    详细阅读
  • 配置标准ACL-网络设备配置与实训 配置标准ACL-网络设备配置与实训

    实训目的通过以下案例的配置,掌握路由器上编号的标准IP访问列表规则及配置,实现不同网段间互相访问的安全控制。公司的经理部、财务部门和销售部门分属不同的3个网段,三部门之间用路由器进行信息传递。实训步骤首先按实训拓扑图连接各设备,然后按以下步骤进行功能配置。......

    2023-11-17

    详细阅读
  • 网络设备实训:交换机基本配置! 网络设备实训:交换机基本配置!

    设置交换机的主机名在默认情况下,交换机的主机名通常为“switch”。配置交换机允许Telnet登录为了使交换机允许通过Telnet进行远程配置,而不需要每次都通过本地进行配置,需要对交换机进行一系列的配置。假设默认网关的地址为192.168.1.1,配置命令为:switch#ip default-gateway 192.168.1.1三层交换机端口的配置与二层交换机相比,三层交换机由于兼有二层和三层的功能,因此端口能够在二层端口和三层端口之间进行转换。......

    2023-11-17

    详细阅读
  • 跨交换机VLAN的配置:网络设备配置与实训 跨交换机VLAN的配置:网络设备配置与实训

    实训目的熟悉跨交换机VLAN的划分方法,以及划分后对网络结构的影响。为了实现同VLAN成员之间的通信,在两台交换机的F 0/1端口之间建立Trunk链路。实训步骤1.按实验拓扑图1-17和表1-2正确连接网络并进行配置。交换机Office1的配置按照“实训2 单交换机的VLAN划分”将交换机Office 1的VLAN进行划分。结果表明,通过Trunk链路,不同交换机上的相同VLAN可以自由通信,而不同VLAN仍然被有效隔离。......

    2023-11-17

    详细阅读