三层交换机的配置和ACL访问控制(标准控制和扩展控制)策略的应用 |
您所在的位置:网站首页 › 以太网交换机能当路由器用吗怎么设置 › 三层交换机的配置和ACL访问控制(标准控制和扩展控制)策略的应用 |
三层交换机的配置和ACL访问控制策略的应用
文章目录
三层交换机的配置和ACL访问控制策略的应用一、三层交换机的配置【1】拓扑图示【2】在二层交换机上【3】在三层交换机上面配置
二、ACL访问控制列表【1】作用【2】分类(1)标准 ACL(2)扩展型 ACL
【3】原理【4】在接口应用的方向【5】ACL标准访问控制和扩展访问控制配置(1)实验拓扑(2)二层交换机LSW1上面的配置(3)在路由器AR1上面的配置(4)在路由器AR2上面的配置(5)标准ACL访问控制配置(6)扩展ACL访问控制配置
一、三层交换机的配置
【1】拓扑图示
创建VLAN 10和VLAN20 创建VLAN10和VLAN20 信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。而ACL(访问控制列表)可以过滤网络中的流量,控制访问的一种网络技术手段。实际上,ACL的本质就是用于描述一个IP 数据包、以太网数据帧若干特征的集合。然后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来“允许”或者“禁止”。 【1】作用(1)ACL可以限制网络流量、提高网络性能。 (2)ACL提供对通信流量的控制手段。 (3)ACL是提供网络安全访问的基本手段。 (4)ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。 【2】分类 (1)标准 ACL基于源IP地址过滤,列表号2000-2999,标准列表应用在靠近目标的接口上面。标准型 ACL只能匹配源IP 地址,在应用中有三种匹配的方式: 1、 any,指任意地址 2、 ,指定某个IP 网段 3、 src_range ,指定 IP 的地址范围 (2)扩展型 ACL扩展型 ACL可匹配多个条目,常用的项目有源、目的IP ,源、目的端口号,以及 ip协议号(种类)等,可以用来满足绝大多数的应用。列表号3000-3999,扩展列表应用在靠近源的接口。在一个条件中,这些项目的前后顺序如下:协议号,源ip地址,源端口号,目的ip地址,目的端 口号。 【3】原理一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。这里要注意,ACL不能对本身产生的数据包进行控制。 (1)如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。数据包只有在跟第一个判断条件不匹配时,它才被交给ACL 中的下一个条件判断语句进行比较。 (2)如果匹配(假设为允许发送),则不管是第 一条还是最后一条语句,数据都会立即发送到目的接口。 (3)如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃(隐含拒绝:deny any )。 【4】在接口应用的方向
到此实现了全网互通,否则上面的配置就有问题,应该检查排错。 (5)标准ACL访问控制配置 在AR1上面配置 [AR1]acl number 2000 rule 5 deny source 192.168.10.0 0.0.0.255 rule 10 permit any [AR1]interface GigabitEthernet0/0/0.20 ########在VLAN20的出接口调用策略 traffic-filter outbound acl 2000检测VLAN10网段pingVLAN20网段是不能通信的 在AR1上面访问ftp服务是无法访问的,在AR2上面是可以访问到的 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |