16实验16交换机单向访问控制的实现文档格式.docx
- 文档编号:7126179
- 上传时间:2023-05-07
- 格式:DOCX
- 页数:14
- 大小:195.71KB
16实验16交换机单向访问控制的实现文档格式.docx
《16实验16交换机单向访问控制的实现文档格式.docx》由会员分享,可在线阅读,更多相关《16实验16交换机单向访问控制的实现文档格式.docx(14页珍藏版)》请在冰点文库上搜索。
设备
IP地址
gateway
PC1
192.168.5.101
PC2
10.1.157.101
172.16.1.101
5.验证:
Ø
PC3可以ping通任何PC。
PC2、PC1不可以ping通任何PC
若实验结果和理论相符,则本实验完成。
六、实验步骤
1.交换机恢复出厂设置
DCRS-5650-28C-28C>
enable
DCRS-5650-28C-28C#setdefault
Areyousure?
[Y/N]=y
DCRS-5650-28C-28C#write
DCRS-5650-28C-28C#reloadProcesswithreboot?
[Y/N]y
2.创建vlan2和vlan3、vlan4并给相应vlan添加端口。
DCRS-5650-28C-28C(Config)#vlan2
DCRS-5650-28C(Config-Vlan2)#switchportinterfaceethernet0/0/1-8
DCRS-5650-28C(Config-Vlan2)#exit
DCRS-5650-28C(Config)#vlan3
DCRS-5650-28C(Config-Vlan2)#switchportinterfaceethernet0/0/9-16
DCRS-5650-28C(Config-Vlan3)#exit
DCRS-5650-28C(Config)#vlan4
DCRS-5650-28C(Config-Vlan4)#switchportinterfaceethernet0/0/17-24
DCRS-5650-28C(Config-Vlan4)#exit
3.配置交换机各vlan虚接口的IP地址
1)开启三层转发功能(默认情况下此功能关闭,若要配置多个IP,需要先开启此功能)
DCRS-5650-28C((Config)#l3enable(此命令不能自动补全,需手动输入)
2)分别给Vlan2与Vlan3、vlan4配置IP地址
DCRS-5650-28C(Config)#intvlan2
DCRS-5650-28C(Config-If-Vlan2)#ipaddress192.168.5.1255.255.255.0
DCRS-5650-28C(Config-If-Vlan2)#noshut
DCRS-5650-28C(Config-If-Vlan2)#exit
DCRS-5650-28C(Config)#intvlan3
DCRS-5650-28C(Config-If-Vlan3)#ipaddress10.1.146.1255.255.255.0
DCRS-5650-28C(Config-If-Vlan3)#noshut
DCRS-5650-28C(Config-If-Vlan3)#exit
DCRS-5650-28C(Config)#intvlan4
DCRS-5650-28C(Config-If-Vlan4)#ipaddress172.16.1.1255.255.255.0
DCRS-5650-28C(Config-If-Vlan4)#noshut
DCRS-5650-28C(Config-If-Vlan4)#exit
4.创建ACL
DCRS-5650-28C(Config)#firewallenable配置访问控制列表功能开启
DCRS-5650-28C(Config)Firewalldefaultpermit默认动作为全部允许
DCRS-5650-28C(config)#ipaccess-listextendednoping
DCRS-5650-28C(config-ip-ext-nacl-noping)#denyicmp192.168.5.00.0.0.255any-destination8
192.168.5.0网段ping任何网段,ICMP报文类型为8时(既ICMP报文为Echorequest)时会被拒绝,这样既实现了ICMP服务的单项控制。
DCRS-5650-28C(config-ip-ext-nacl-noping)#denyicmp10.1.146.00.0.0.255any-destination8
10.1.146.0网段ping任何网段,ICMP报文类型为8时(既ICMP报文为Echorequest)时会被拒绝,这样既实现了ICMP服务的单项控制。
DCRS-5650-28C(config-ip-ext-nacl-noping)#exit
DCRS-5650-28C(config-if-port-range)#noipaccess-groupnopingin
DCRS-5650-28C(config-if-port-range)#q
DCRS-5650-28C(config)#interfaceethernet0/0/1-8
DCRS-5650-28C(config-if-port-range)#ipaccess-groupnopingin
DCRS-5650-28C(config-if-port-range)#exit
DCRS-5650-28C(config)#interfaceethernet0/0/9-16
DCRS-5650-28C(config)#
5.在PC上配置各自IP,使用ping命令验证实验
192.168.10.1
10.1.146.101
10.1.146.1
PC3
172.16.1
验证PC之间是否连通:
PC
PC所在端口
动作
结果
PC1
0/0/1-8
PC1pingPC2
不通
PC1pingPC3
PC2
0/0/9-16
PC2pingPC1
PC2pingPC3
PC3
0/0/17-24
PC3pingPC1
通
PC3pingPC2
七、课后练习
1.在每个VLAN内部接入多台PC,尝试看看各个VLAN内部之间能否ping通?
为什么?
2.按照上述配置,如果希望各个VLAN内部都能够相互ping通,访问控制列表如何编写?
八、相关配置命令详解
1.配置access-list
(1)配置数字标准IP访问列表
(2)配置数字扩展IP访问列表
(3)配置命名标准IP访问列表
a)创建一个命名标准IP访问列表
b)指定多条permit或deny规则表项
c)退出访问表配置模式
4)配置命名扩展IP访问列表
a)创建一个命名扩展IP访问列表
c)退出访问表配置模式
2.
配置包过滤功能
(1)全局打开包过滤功能
(2)配置默认动作(defaultaction)
3.将accessl-list绑定到特定端口的特定方向
配置access-list
配置标准IP访问列表
命令
解释
全局配置模式
access-list<
num>
{deny|permit}
{{<
sIpAddr>
<
sMask>
}|any-source|
{host-source<
}}
noaccess-list<
创建一条数字标准IP访问列表,如果已有此
访问列表,则增加一条规则(rule)表项;
本
命令的no操作为删除一条数字标准IP访问列
表。
将accessl-list绑定到特定端口的特定方向
物理接口配置模式
ipaccess-group<
name>
{in|out}
noipaccess-group<
{in|out}
在端口的某个方向上应用一条access-list;
本命
令的no操作为删除绑定在端口上的access-list。
access-list(extended)
命令:
access-list<
{deny|permit}icmp{{<
}|any-source|
}}{{<
dIpAddr>
dMask>
}|any-destination|{host-destination
<
}}[<
icmp-type>
[<
icmp-code>
]][precedence<
prec>
][tos<
tos>
]
{deny|permit}igmp{{<
igmp-type>
][precedence<
{deny|permit}tcp{{<
}}[sPort<
sPort>
]{{<
}|any-destination|
{host-destination<
}}[dPort<
dPort>
][ack|fin|psh|rst|syn|urg][precedence
{deny|permit}udp{{<
{deny|permit}{eigrp|gre|igrp|ipinip|ip|<
int>
}{{<
}|any-source|{host-source<
}}[precedence<
功能:
创建一条匹配特定IP协议或所有IP协议的数字扩展IP访问规则;
如果此编号数字扩展访问列表不存在,则创建此访问列表;
本命令的no操作为删除一条数字扩展IP访问列表。
参数:
为访问表标号,100-199;
为源IP地址,格式为点分十进制;
sMask>
为源IP的反掩码,格式为点分十进制;
为目的IP地址,格式为点分十进制;
为目的IP的反掩码,格式为点分十进制,关心的位置0,忽略的位置1;
,igmp的类型;
,icmp的类型;
,icmp的协议编号;
,IP优先级,0-7;
,tos值,0-15;
,源端口号,0-65535;
,目的端口号,0-65535。
命令模式:
缺省情况:
没有配置任何的访问列表。
使用指南:
当用户第一次指定特定<
时,创建此编号的ACL,之后在此ACL中添加表项。
举例:
创建编号为110的数字扩展访问列表。
拒绝icmp报文通过,允许目的地址为192.168.0.1
目的端口为32的udp包通过。
Switch(Config)#access-list110denyicmpany-sourceany-destination
Switch(Config)#access-list110permitudpany-sourcehost-destination192.168.0.1dPort32
access-list(standard)
命令:
{deny|permit}{{<
}}
创建一条数字标准IP访问列表,如果已有此访问列表,则增加一条rule表项;
本命令的no操作为删除一条数字标准IP访问列表。
为访问表标号,1-99;
为源IP的反掩码,格式为点分十进制。
全局配置模式
创建一条编号为20的数字标准IP访问列表,允许源地址为10.1.1.0/24的数据包通过,
拒绝其余源地址为10.1.1.0/16的数据包通过。
Switch(Config)#access-list20permit10.1.1.00.0.0.255
Switch(Config)#access-list20deny10.1.1.00.0.255.255
showiprip
显示RIP当前运行状态及配置信息。
特权用户配置模式
根据本命令的输出信息,用户可以查看RIP路由的缺省权值、指定发送的目标地址、优先值等。
firewall
firewall{enable|disable}
允许防火墙起作用或禁止防火墙起作用。
enable表示允许防火墙起作用;
disable表示禁止防火墙起作用。
缺省为防火墙不起作用。
在允许和禁止防火墙时,都可以设置访问规则。
但只有在防火墙起作用时才可以
将规则应用至特定端口的特定方向上。
使防火墙不起作用后将删除端口上绑定的所有ACL。
允许防火墙起作用。
Switch(Config)#firewallenable
firewalldefault
firewalldefault{permit|deny}
设置防火墙默认动作。
permit表示允许数据包通过;
deny表示拒绝数据包通过。
缺省动作为permit。
此命令只影响端口入口方向的IP包,其余情况下数据包均可通过交换机。
设置防火墙默认动作为拒绝数据包通过。
Switch(Config)#firewalldefaultdeny
ipaccessextended
ipaccessextended<
noipaccessextended<
创建一条命名扩展IP访问列表;
本命令的no操作为删除此命名扩展IP访问列表(包含所有表项)。
为访问表标名,字符串长度为1-8,不允许为纯数字序列。
第一次以调用此命令后,只是创建一个空的命名访问列表,其中不包含任何表项。
创建一条名为tcpFlow的命名扩展IP访问列表。
Switch(Config)#ipaccess-listextendedtcpFlow
ipaccess-group
{in|out}
在端口的入口方向上应用一条access-list;
本命令的no操作为删除绑定在端口上的access-list。
为命名访问表的名字,字符串长度为1-8。
物理接口配置模式
没有绑定任何ACL。
一个端口只可以绑定一条入口规则,目前不支持在出口方向应用Access-list。
将名为aaa的访问列表绑定到端口的入口方向上。
Switch(Config-Ethernet1/1)#ipaccess-groupaaain
permit|deny(extended)
命令:
[no]{deny|permit}icmp{{<
}|any-destination|{host-destination<
[<
][tos<
创建或删除一条匹配特定IP协议或所有IP协议的命名扩展IP访问规则。
,igmp的类型,0-255;
,icmp的类型,0-255;
,icmp的协议编号,0-255;
,IP优先级,0-7;
命名扩展IP访问列表配置模式
创建名为udpFlow的扩展访问列表。
拒绝igmp报文通过,允许目的地址为192.168.0.1
Switch(Config)#ipaccess-listextendedudpFlow
Switch(Config-Ext-Nacl-udpFlow)#access-list110denyigmpany-sourceany-destination
Switch(Config-Ext-Nacl-udpFlow)#access-list110permitudpany-sourcehost-destination
192.168.0.1dPort32
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 16实验16 交换机单向访问控制的实现 16 实验 交换机 单向 访问 控制 实现