网创优客建站品牌官网
为成都网站建设公司企业提供高品质网站建设
热线:028-86922220
成都专业网站建设公司

定制建站费用3500元

符合中小企业对网站设计、功能常规化式的企业展示型网站建设

成都品牌网站建设

品牌网站建设费用6000元

本套餐主要针对企业品牌型网站、中高端设计、前端互动体验...

成都商城网站建设

商城网站建设费用8000元

商城网站建设因基本功能的需求不同费用上面也有很大的差别...

成都微信网站建设

手机微信网站建站3000元

手机微信网站开发、微信官网、微信商城网站...

建站知识

当前位置:首页 > 建站知识

ACL访问控制列表之命名篇(实践)

实践环境部署

拓扑结构图及需求

ACL访问控制列表之命名篇(实践)

创新互联公司是一家专业提供遵化企业网站建设,专注与网站设计、成都做网站、H5响应式网站、小程序制作等业务。10年已为遵化众多企业、政府机构等服务。创新互联专业的建站公司优惠进行中。

注意点:SW设备与SW-3设备需要事先添加容量及业务单板



实践步骤

第一步:配置SW交换机

conf t                //进入全局模式,设定vlan10 和20
vlan 10,20
ex
do show vlan-sw b      //查看vlan信息

VLAN Name                             Status    
10   VLAN0010                         active    
20   VLAN0020                         active    

int range fa1/1 -2          //进入端口fa1/1和1/2 接口,将端口划入vlan10
sw mo acc
sw acc vlan 10
ex
do show vlan-sw b       //查看vlan信息

VLAN Name                             Status    Ports
10   VLAN0010                         active    Fa1/1, Fa1/2
20   VLAN0020                         active    

int f1/3                //进入端口f1/3,将端口划入vlan20 
sw mo acc
sw acc vlan 20
ex
do show vlan-sw b

VLAN Name                             Status    Ports
10   VLAN0010                         active    Fa1/1, Fa1/2
20   VLAN0020                         active    Fa1/3

int f1/0          //进入端口f1/0,配置trunk链路
sw mo t
sw t en dot1q
ex
no ip routing          //关闭路由功能


第二步:配置SW-3三层交换机

conf t
no switchport                //关闭交换功能
int f1/1
ip add 192.168.100.1 255.255.255.0
no shut
ex
vlan 10,20
ex
int vlan 10
ip add 192.168.10.1 255.255.255.0
no shut
ex
int vlan 20
ip add 192.168.20.1 255.255.255.0
no shut
ex
do show ip int b        //查看vlan信息

FastEthernet1/1            192.168.100.1   YES manual up                    up 
Vlan10                     192.168.10.1    YES manual up                    down    
Vlan20                     192.168.20.1    YES manual up                    down

int f1/0                   //进入端口f1/0配置trunk链路
sw mo t
sw t en dot1q
do show ip route        //查看路由表

C    192.168.10.0/24 is directly connected, Vlan10
C    192.168.20.0/24 is directly connected, Vlan20
C    192.168.100.0/24 is directly connected, FastEthernet1/1


第三步:配置客户机IP地址,并测试全网互通性

1.配置客户机IP地址

PC1> ip 192.168.100.100 192.168.100.1
Checking for duplicate address...
PC1 : 192.168.100.100 255.255.255.0 gateway 192.168.100.1

PC2> ip 192.168.10.10 192.168.10.1 
Checking for duplicate address...
PC1 : 192.168.10.10 255.255.255.0 gateway 192.168.10.1

PC3> ip 192.168.10.20 192.168.10.1
Checking for duplicate address...
PC1 : 192.168.10.20 255.255.255.0 gateway 192.168.10.1

PC4> ip 192.168.20.20 192.168.20.1
Checking for duplicate address...
PC1 : 192.168.20.20 255.255.255.0 gateway 192.168.20.1

2.测试全网互通性

PC2> ping 192.168.100.100
192.168.100.100 icmp_seq=1 timeout
84 bytes from 192.168.100.100 icmp_seq=2 ttl=63 time=18.946 ms
84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=19.942 ms
84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=11.937 ms
84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=17.674 ms

PC2> ping 192.168.10.20  
84 bytes from 192.168.10.20 icmp_seq=1 ttl=64 time=0.000 ms
84 bytes from 192.168.10.20 icmp_seq=2 ttl=64 time=0.000 ms
84 bytes from 192.168.10.20 icmp_seq=3 ttl=64 time=0.000 ms
84 bytes from 192.168.10.20 icmp_seq=4 ttl=64 time=0.000 ms
84 bytes from 192.168.10.20 icmp_seq=5 ttl=64 time=0.000 ms

PC2> ping 192.168.20.20
192.168.20.20 icmp_seq=1 timeout
84 bytes from 192.168.20.20 icmp_seq=2 ttl=63 time=18.230 ms
84 bytes from 192.168.20.20 icmp_seq=3 ttl=63 time=21.964 ms
84 bytes from 192.168.20.20 icmp_seq=4 ttl=63 time=19.229 ms
84 bytes from 192.168.20.20 icmp_seq=5 ttl=63 time=11.992 ms


第四步:配置命名ACL策略

在SW-3交换机上进行配置,全局模式下

ip access-list standard yun          //设定模式以及命名名称,standard为标准命名ACL,extended为扩展命名ACL
permit host 192.168.10.10            //设定允许访问主机ip的条目
deny 192.168.10.0 0.0.0.255        //设定拒绝的网段条目
permit any                                    //设顶允许其他所有主机访问
ex
do show access-list                   //查看访问列表清单

Standard IP access list yun
    10 permit 192.168.10.10
    20 deny   192.168.10.0, wildcard bits 0.0.0.255
    30 permit any

int f1/1                                       //进入端口f1/1,将ACL应用与此出方向
ip access-group yun out


第五步:测试ACL效果

1.测试vlan10 中的主机2与主机1的互通性

PC2> ping 192.168.100.100
192.168.100.100 icmp_seq=1 timeout
192.168.100.100 icmp_seq=2 timeout
84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=15.953 ms
84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=19.232 ms
84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=19.049 ms

2.测试主机4与主机1的互通性

PC4> ping 192.168.100.100
84 bytes from 192.168.100.100 icmp_seq=1 ttl=63 time=20.226 ms
84 bytes from 192.168.100.100 icmp_seq=2 ttl=63 time=18.953 ms
84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=18.208 ms
84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=17.023 ms
84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=12.985 ms

3.测试vlan10 中的其他主机与主机1的互通性

PC3> ping 192.168.100.100
*192.168.10.1 icmp_seq=1 ttl=255 time=8.907 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=2 ttl=255 time=3.775 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=3 ttl=255 time=7.979 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=4 ttl=255 time=5.965 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=5 ttl=255 time=1.992 ms (ICMP type:3, code:13, Communication administratively prohibited)

注:命名访问控制列表可灵活的调整策略,前提是在标准访问列表以及扩展访问列表的基础上,可以使用no+ACL号删除策略.也可以使用ACL号+permit+ip追加ACL策略


网站标题:ACL访问控制列表之命名篇(实践)
URL分享:http://bjjierui.cn/article/jdsscj.html

其他资讯