您的位置:360文档中心› 三层交换机配置ACL(访问控制列表)

三层交换机配置ACL(访问控制列表)

合集下载

标准IP访问控制列表的配置及应用

标准IP访问控制列表的配置及应用

标准IP访问控制列表的配置及应用一、拓扑结构图;二、访问控制列表的概念;1.访问控制列表(Access Control List,ACL)是应用在路由器(或三层交换机)端口上的控制列表。

ACL可以允许(permit)或拒绝(deny)进入或离开路由器的数据包(分组),通过设置可以允许或拒绝网络用户使用路由器的某些端口,对网络系统起到安全保护作用。

访问控制列表(ACL)实际上是一系列允许和拒绝匹配准则的集合。

2.IP访问控制列表可以分为两大类:标准IP访问控制列表,只对数据包的源IP地址进行检查。

其列表号为1~99或者1300~1999。

扩展IP访问控制列表,对数据包的源和目标IP地址、源和目标端口号等进行检查,可以允许或拒绝部分协议。

其列表号为100~199或2000~2699。

3.访问控制列表对每个数据包都以自上向下的顺序进行匹配。

如果数据包满足第一个匹配条件,那么路由器就按照该条语句所规定的动作决定是拒绝还是允许;如果数据包不满足第一个匹配条件,则继续检测列表的下一条语句,以此类推。

数据包在访问控制列表中一旦出现了匹配,那么相应的操作就会被执行,并且对此数据包的检测到此为止。

后面的语句不可能推翻前面的语句,因此访问控制列表的过滤规则的放置顺序是很讲究的,不同的放置顺序会带来不同的效果。

三、技术原理;假设某公司的经理部,销售部和财务部分别属于不同的网段,出于安全考虑,公司要求经理部的网络可以访问财务部,而销售部无法访问财务部的网络,其他网络之间都可以实现互访。

访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中,即为距离被保护网络最接近的路由器上。

配置标准IP访问控制列表:1.定义标准IP访问控制列表;Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。

三层交换机访问控制列表ACL的配置

三层交换机访问控制列表ACL的配置

ACL未来的发展趋势
01 02
动态ACL
随着云计算和虚拟化技术的发展,网络流量和安全威胁呈现出动态变化 的特点,动态ACL可以根据网络状态实时调整访问控制策略,提高网络 安全防护的实时性和准确性。
智能ACL
通过引入人工智能和机器学习技术,智能ACL可以根据历史数据和行为 模式自动识别和防御未知威胁,提高网络安全防护的智能化水平。
三层交换机访问控制列表 ACL的配置
目录
• ACL概述 • 三层交换机与ACL配置 • 配置实例 • ACL常见问题及解决方案 • 总结与展望
01
ACL概述
ACL的定义
访问控制列表(ACL)是一种用于实 现网络访问控制的安全机制,它可以 根据预先设定的条件对数据包进行过 滤,从而允许或拒绝数据包的传输。
ACL可以应用于三层交换机,实 现对网络流量的访问控制和过滤。
通过配置ACL,可以限制网络访 问权限,保护敏感资源不被非法
访问。
ACL可以与三层交换机的路由功 能结合使用,实现更加灵活和高效的网Biblioteka 控制。三层交换机ACL配置步骤
登录三层交换机,进入系 统视图。
将ACL应用到相应的接口 上,实现数据包的过滤和 控制。
03
融合ACL
随着网络安全威胁的不断演变,单一的ACL策略已经难以满足安全需求,
融合ACL可以将多种安全策略进行有机融合,形成多层次、全方位的安
全防护体系,提高网络的整体安全性。
感谢您的观看
THANKS
ACL性能问题
总结词
ACL的配置不当可能导致设备性能下降,影响网络的整体性能。
详细描述
ACL的配置涉及到对数据包的匹配和转发,如果配置不当,可能会导致设备处理数据包的速度变慢, 甚至出现丢包现象。为提高设备性能,应合理规划ACL规则,尽量减少不必要的匹配操作,并考虑使 用硬件加速技术来提高数据包的处理速度。

三层交换机防火墙ACL设置

三层交换机防火墙ACL设置

1.4 实验要求
在交换机A和交换机B上分别划分两个基于 端口的VLAN: VLAN100,VLAN200.
交换机A端口1设置成Trnuk口:
VLAN 100 200 Trunk IP 192.168.100.1 192.1689.200.1 Mask 255.255.255.0 255.255.255.0 1
1.2实验目的
1. 了解什么是标准的ACI; 2.了解标准ACL不同的实现方法。
1.3实验环境
ACL(Access Control List)是交换机实现的一 种数据包过滤机制,通过允许或拒绝特定的数据包进 出网络,交换机可以对网络访问进行控制,有效保障 网络的安全运行。用户可以基于报文中的特定信息制 定一组规则(rule),每条规则都描述了对匹配了一定 信息的数据包所采取的动作:允许通过(permit)或 拒绝通过(deny)。用户可以把这些规则应用到特定 交换机的入口或出口方向,这样特定端口上特定方向 的数据流就必须依照指定的ACL规则进出交换机。通 过ACL,可以限制某个IP地址的PC或者某些网段的的 pc的上网活动。用于网络管理。
2. 研究方法
2.1 实验设备 2.2 实验拓扑 2.3 实验步骤
2.1实验设备
1.DCRS-7604或6804或5526S)交换机1台 2.DCRS-3926 S交换机1台 3.PC机2台 4.Console线1-2根 5.直通网线若干
2.2 实验拓扑
第一步:交换机全部恢复出厂设置,在交换机中 创建vlan100和vlan200,并添加端口
2.3 实验步骤
第二步:设置交换机Truck口 交换机B:
交换机A:
第三步:交换机A添加vlan地址。
第三步:交换机A添加vlan地址。 第四步:不配制ACL验证实验

在三层交换机上配置ACL

在三层交换机上配置ACL

3750配置:3750#conf t3750(config)#int f0/153750(config-if)#switchport mode trunk3750(config)#end3750#vlan database3750(vlan)#vtp server3750(vlan)#vtp domain sy3750(vlan)#vtp password cisco3750(vlan)#vlan 103750(vlan)#vlan 203750(vlan)#vlan 303750(vlan)#vlan 403750(vlan)#vlan 1003750(vlan)#exit3750(config)#ip routing3750(config)#int vlan 103750(config-if)#ip address 192.168.10.1 255.255.255.0 3750(config-if)#no shutdown3750(config-if)#exit3750(config)#int vlan 203750(config-if)#ip address 192.168.20.1 255.255.255.0 3750(config-if)#no shutdown3750(config-if)#exit3750(config)#int vlan 303750(config-if)#ip address 192.168.30.1 255.255.255.0 3750(config-if)#no shutdown3750(config-if)#exit3750(config)#int vlan 403750(config-if)#ip address 192.168.40.1 255.255.255.0 3750(config-if)#no shutdown3750(config-if)#exit3750(config)#int vlan 1003750(config-if)#ip address 192.168.100.1 255.255.255.0 3750(config-if)#no shutdown3750(config-if)#exit3750(config)#end3750(config)#int f0/13750(config-if)#switchport access vlan 1003750(config-if)#end配置ACL3750#conf t3750(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.2553750(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.2553750(config)#access-list 100 permit ip any any3750(config)#access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.2553750(config)#access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.2553750(config)#access-list 101 permit ip any any3750(config)#access-list 102 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.2553750(config)#access-list 102 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.2553750(config)#access-list 102 permit ip any any3750(config)#ip access-list extended infilter //在入方向放置reflect//3750(config-ext-nacl)#permit ip any any reflect ccna 3750(config-ext-nacl)#exit3750(config)#ip access-list extended outfilter //在出方向放置evaluate//3750(config-ext-nacl)#evaluate ccna3750(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 any 3750(config-ext-nacl)#deny ip 192.168.20.0 0.0.0.255 any 3750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 any 3750(config-ext-nacl)#permit ip any any3750(config-ext-nacl)#exit3750(config)#int vlan 40 //应用到管理接口// 3750(config-if)#ip access-group infilter in3750(config-if)#ip access-group outfilter out3750(config-if)#exit3750(config)#int vlan 103750(config-if)#ip access-group 100 in3750(config-if)#exit3750(config)#int vlan 203750(config-if)#ip access-group 101 in3750(config-if)#exit3750(config)#int vlan 303750(config-if)#ip access-group 102 in3750(config-if)#end2960配置:2960#conf t2960(config)#int f0/152960(config-if)#switchport mode trunk2960(config-if)#switchport trunk encapsulation dot1q2960(config-if)#end2960#vlan database2960(vlan)#vtp client2960(vlan)#vtp domain sy2960(vlan)#vtp password cisco2960(vlan)#exit2960#show vtp statusVTP Version : 2Configuration Revision : 2Maximum VLANs supported locally : 256Number of existing VLANs : 10VTP Operating Mode : ClientVTP Domain Name : syVTP Pruning Mode : EnabledVTP V2 Mode : DisabledVTP Traps Generation : DisabledMD5 digest : 0x4D 0xA8 0xC9 0x00 0xDC 0x58 0x2F 0xDD Configuration last modified by 0.0.0.0 at 3-1-02 00:13:342960#show vlan-sw briefVLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Fa0/0, Fa0/1, Fa0/2, Fa0/3Fa0/4, Fa0/5, Fa0/6, Fa0/7Fa0/8, Fa0/9, Fa0/10, Fa0/11Fa0/12, Fa0/13, Fa0/1410 VLAN0010 active20 VLAN0020 active30 VLAN0030 active40 VLAN0040 active100 VLAN0100 active1002 fddi-default active1003 token-ring-default active1004 fddinet-default active1005 trnet-default active2960#conf t2960(config)#int f0/12960(config-if)#switchport access vlan 102960(config-if)#int f0/22960(config-if)#switchport access vlan 202960(config-if)#int f0/32960(config-if)#switchport access vlan 302960(config-if)#int f0/42960(config-if)#switchport access vlan 402960(config-if)#end客户机验证:PC1:PC1#ping 192.168.20.20Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.20.20, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)PC1#ping 192.168.30.30Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.30.30, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)PC1#ping 192.168.40.40Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.40.40, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)PC1#ping 192.168.100.100Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.100.100, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 104/268/336 ms PC2:PC2#ping 192.168.10.10Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)PC2#ping 192.168.30.30Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.30.30, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)PC2#ping 192.168.40.40Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.40.40, timeout is 2 seconds:Success rate is 0 percent (0/5)PC2#ping 192.168.100.100Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.100.100, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 56/170/336 ms PC3:PC3#ping 192.168.10.10Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 2 seconds:.U.U.Success rate is 0 percent (0/5)PC3#ping 192.168.20.20Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.20.20, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)PC3#ping 192.168.40.40Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.40.40, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)PC3#ping 192.168.100.100Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.100.100, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 144/218/416 ms PC4:PC4#ping 192.168.10.10Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 2 seconds:.!!!!Success rate is 80 percent (4/5), round-trip min/avg/max = 240/331/508 ms PC4#ping 192.168.20.20Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.20.20, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 220/288/356 ms PC4#ping 192.168.30.30Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.30.30, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 144/207/268 ms PC4#ping 192.168.100.100Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.100.100, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 96/219/440 ms PC5:PC5#ping 192.168.10.10Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 92/194/284 ms PC5#ping 192.168.20.20Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.20.20, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 144/209/336 ms PC5#ping 192.168.30.30Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.30.30, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 64/184/372 ms PC5#ping 192.168.40.40Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.40.40, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 192/239/308 ms。

acl配置详解

acl配置详解

什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表的原理对路由器接口来说有两个方向出:已经经路由器的处理,正离开路由器接口的数据包入:已经到达路由器接口的数据包,将被路由器处理。

匹配顺序为:"自上而下,依次匹配".默认为拒绝访问控制列表的类型标准访问控制列表:一般应用在out出站接口。

建议配置在离目标端最近的路由上扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号访问控制列表使用原则1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。

这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。

因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。

一、标准访问列表(标准ACL)访问控制列表ACL分很多种,不同场合应用不同种类的ACL.其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL.它的具体格式:access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]access-list-number 为1-99 或者1300-1999之间的数字,这个是访问列表号。

交换机的ACL配置

交换机的ACL配置

配置语句为:
Switch# acess-list port <port-id><groupid>
例:对交换机的端口4,拒绝来自192.168.3.0网段上的信息,配置如下:
Switch# acess-list 1 deny 192.168.3.0 0.0.0.255
Switch# acess-list port 4 1 // 把端口4 加入到规则1中。
另外,我们也可通过显示命令来检查已建立的访问控制列表,即
Switch# show access-list
例:
Switch# show access-list //显示ACL列表;
ACL Status:Enable // ACL状态 允许;
Standard IP access list: //IP 访问列表;
交换机的ACL配置
在通常的网络管理中,我们都希望允许一些连接的访问,而禁止另一些连接的访问,但许多安全工具缺乏网络管理所需的基本通信流量过滤的灵活性和特定的控制手段。
三层交换机功能强大,有多种管理网络的手段,它有内置的ACL(访问控制列表),因此我们可利用ACL(访问控制列表)控制Internet的通信流量。以下是我们利用联想的三层交换机3508GF来实现ACL功能的过程。
◆ 提供网络访问的基本安全手段。例如,ACL允许某一主机访问您的资源,而禁止另一主机访问同样的资源。
◆ 在交换机接口处,决定那种类型的通信流量被转发,那种通信类型的流量被阻塞。例如,允许网络的E-mail被通过,而阻止FTP通信。
建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这也是对网络访问的基本安全手段。ACL的访问规则主要用三种:

三层交换机基本配置

三层交换机基本配置

详细描述
三层交换机的主要功能包括路由,即根据IP地址或网络 层协议(如IPX或AppleTalk)将数据包从一个网络接口 转发到另一个网络接口。此外,它还可以实现访问控制 列表(ACL),这是一种安全功能,用于过滤和限制对 网络资源的访问。另外,三层交换机还可以在不同的 VLAN(虚拟局域网)之间进行路由,这对于大型企业 网络尤其重要,因为它们通常需要将不同的部门或用户 组划分为不同的VLAN。
详细描述
通过配置流量控制,可以限制网络中 数据包的流量,防止网络拥堵和数据 丢失。常见的流量控制技术包括基于 端口的流量控制和基于IP的流量控制。
端口汇聚配置
总结词
实现端口汇聚,提高网络带宽和可靠性
详细描述
端口汇聚可以将多个物理端口绑定为一个逻辑端口,从而提高网络带宽和可靠性。通过配置端口汇聚 ,可以实现负载均衡、备份和故障恢复等功能。
2. 创建ACL规则,指定允许或拒绝的IP地址和端口号。
详细描述:通过定义访问控制规则,ACL可以限制网络 流量,只允许符合规则的数据包通过交换机,从而保护 网络免受恶意攻击和非法访问。 1. 进入交换机的配置模式。
3. 将ACL应用到相应的接口上,以过滤进出的网络流量 。
IP源防护(IP Source Guard)配置
总结词:IP Source Guard用于防止IP地址欺骗攻击, 确保网络的安全性。
配置步骤
详细描述:IP Source Guard可以防止非法用户通过伪 造IP地址来攻击网络,通过绑定IP地址和MAC地址, 确保只有合法的用户能够通过交换机访问网络。
1. 进入交换机的配置模式。
2. 启用IP Source Guard功能。
动态路由配置(RIP)
总结词

三层交换机访问控制列表ACL的配置

三层交换机访问控制列表ACL的配置
<sPort>,源端口号,0-65535;
<dPort>,目的端口号,0-65535。
企业网综合实战
指定多条permit 或deny 规则
命令(过滤UDP数据包) : deny | permit udp <sIpAddr> <sMask> | any-source | host-source <sIpAddr> [sPort <sPort>] <dIpAddr> <dMask>| any-destination |host-destination <dIpAddr> [dPort <dPort>] [precedence <prec>] [tos <tos>][time -range <time-range-name>]
举例:创建一个名为test的扩展IP访问列表 ip access-list extended test
企业网综合实战
指定多条permit 或deny 规则
命令(过滤ICMP数据包) : deny | permit icmp <sIpAddr> <sMask> | any-source | host-source <sIpAddr> <dIpAddr> <dMask>} | anydestination | host-destination <dIpAddr> [<icmp-type> [<icmp-code>]] [precedence <prec>] [tos <tos>] [time – range <time-range-name>] 说明
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

三层交换机配置ACL(访问控制列表)
说明:书本上讲述的ACL主要是应用在路由器上,但现在三层交换机在大中型企业中的应用越来越广泛,三层交换机因拥有路由器的功能而逐渐代替路由器。

ACL 访问控制列表是构建安全规范的网络不可缺少的,但在三层交换机上配置ACL 却不为一些刚进企业的初级网络管理维护人员所知。

在这里我介绍一下在三层交换机上配置ACL的试验过程。

试验拓扑介绍:
三层交换机上配置本地Vlan 实现下层接入层交换机不同Vlan互通。

PC1 VLAN VLAN VLAN VLAN (开启路由功能)路由器上配置
F0/0 PC5
试验步骤:
1、在二层交换机上把相应的PC加入VLAN
查看交换机Switch0
Switch0(config)#show run

interface FastEthernet0/1
switchport access vlan 2
!
interface FastEthernet0/2
switchport access vlan 3
!
查看交换机Switch1
Switch1#show run
!
interface FastEthernet0/3
switchport access vlan 4
!
interface FastEthernet0/4
switchport access vlan 5
!
2、在三层交换机上配置相应的本地VALN
Switch(config)#inter vl 2
Switch(config-if)#ip add shut
Switch(config)#inter vl 3
Switch(config-if)#ip add shut
Switch(config)#inter vl 4
Switch(config-if)#ip add shut
Switch(config)#inter vl 5
Switch(config-if)#ip add shut
Switch(config-if)#exi
在接口itnerface f0/1上开启路由接口
Switch(config)#inter f0/1
Switch(config-if)#no switchport
3、在二层交换机和三层交换机之间开启中继链路
4、在路由器和三层交换机上配置动态路由协议RIP
Router(config)#router rip
Router(config)#network (config)# network 三层交换机上配置Switch(config)#router rip
Switch(config-router)#ne
Switch(config-router)#network 、验证各PC互通
PC>ping with 32 bytes of data:
Request timed out.
Reply from bytes=32 time=110ms TTL=126
Reply from bytes=32 time=110ms TTL=126
Reply from bytes=32 time=125ms TTL=126
Ping statistics for Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds:
Minimum = 110ms, Maximum = 125ms, Average = 115ms
PC>ping with 32 bytes of data:
Reply from bytes=32 time=94ms TTL=126
Reply from bytes=32 time=125ms TTL=126
Reply from bytes=32 time=125ms TTL=126
Reply from bytes=32 time=109ms TTL=126
Ping statistics for Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:
Minimum = 94ms, Maximum = 125ms, Average = 113ms
6、在三层交换机上配置ACL
注意如果设置不同VALN的PC之间不能互通,则应用的接口应为VLAN对应的本地Llan接口。

设置PC1不能ping通PC3和PC4
Switch(config)#access-list 10 deny host 应用于接口
Switch(config)#inter vl 4
Switch(config-if)#ip access-group 10 out
Switch(config-if)#exi
Switch(config)#inter vl 5
Switch(config-if)#ip access-group 10 out
Switch(config-if)#
或者是
Switch(config)#inter vl 2
Switch(config-if)#ip access-group 10 in
Switch(config-if)#
(注上:此处ACL应用于接口,从PC1到PC3 和PC4,数据流走向是经过三层交换机上配置的本地Vlan2接口进入,再从三层交换机上配置的本地Vlan4出去到达PC3,从本地Vlan5出去到达PC4。

所以在配置ACL时应注意访问控制列表应用于哪儿接口!)
7、验证:
PC1不能ping通PC3和PC4
PC>ping with 32 bytes of data:
Request timed out.
Request timed out.
Ping statistics for Packets: Sent = 3, Received = 0, Lost = 3 (100% loss),
Control-C
^C
PC>ping with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
容易发生的错误分析:可能在学习的时候只是学习了如何在路由器上配置ACL,而不知道在三层交换机上也能配置ACL。

或许有些同学在三层交换机上各接口开启路由接口模式,就把三层交换机当作路由器来配置,虽说三层交换机有路由器的功能,但是一些协议运用起来还是和路由器有差别的。

就比如说这个试验在三层交换机的下连接口f0/5和f0/6上开启路由接口模式,结果是不配置ACL的前提下,各Vlan不通。

所以f0/5和f0/6不能开启路由接口模式。

在Vlan 2、3、4、5之间配置ACL时,要弄清楚数据流的进、出接口,在这里Vlan2、3、4、5之间的数据流的进、出口就是在三层交换机上配置本地Vlan 接口。

其实ACL原理都一样、只要清楚三层交换机上配置ACL和路由器上配置的区别,在三层交换机上配置ACL就简单易行。

相关文档
最新文档