千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 服务器 >

命名访问控制列表详解

发表于:2025-02-01 作者:千家信息网编辑
千家信息网最后更新 2025年02月01日,命名访问控制列表本章目标:通过实验学会命名访问控制列表,添加访问控制,删除访问控制实验图:4台主机,一个二层交换机,一个三层交换机sw1:划分VLAN,给VLAN配置接口,做trunk链路sw2:划分
千家信息网最后更新 2025年02月01日命名访问控制列表详解

命名访问控制列表

本章目标:通过实验学会命名访问控制列表,添加访问控制,删除访问控制

实验图:

4台主机,一个二层交换机,一个三层交换机
sw1:划分VLAN,给VLAN配置接口,做trunk链路
sw2:划分vlan,通过接口给vlan配置虚拟地址,做trunk链路,做命名访问控制
,关闭交换端口变成三层端口。
pc1:192.168.10.10/24
pc2:192.168.10.20/24
pc3:192.168.20.20/24
pc4:192.168.100.100/24

一.给二层交换机配置VLAN,给vlan配置接口,做trunk链路

sw1#conf tsw1(config)#vlan 10,20sw1(config-vlan)#do show vlan-sw b  //查看vlan详细信息sw1(config-vlan)#exsw1(config)#do show vlan-sw bVLAN Name                             Status    Ports---- -------------------------------- --------- -------------------------------1    default                          active    Fa1/0, Fa1/1, Fa1/2, Fa1/3                                                Fa1/4, Fa1/5, Fa1/6, Fa1/7                                                Fa1/8, Fa1/9, Fa1/10, Fa1/11                                                Fa1/12, Fa1/13, Fa1/14, Fa1/1510   VLAN0010                         active    20   VLAN0020                         active    1002 fddi-default                     act/unsup 1003 token-ring-default               act/unsup 1004 fddinet-default                  act/unsup 1005 trnet-default                    act/unsup sw1(config)#int range fa1/1 -2sw1(config-if-range)#sw mo acc         //进入接口模式sw1(config-if-range)#sw acc vlan 10  //配置vlansw1(config-if-range)#exsw1(config)#do show vlan-sw b VLAN Name                             Status    Ports---- -------------------------------- --------- -------------------------------1    default                          active    Fa1/0, Fa1/3, Fa1/4, Fa1/5                                                Fa1/6, Fa1/7, Fa1/8, Fa1/9                                                Fa1/10, Fa1/11, Fa1/12, Fa1/13                                                Fa1/14, Fa1/1510   VLAN0010                         active    Fa1/1, Fa1/220   VLAN0020                         active    1002 fddi-default                     act/unsup 1003 token-ring-default               act/unsup 1004 fddinet-default                  act/unsup 1005 trnet-default                    act/unsup sw1(config)#int f1/3sw1(config-if)#sw mo acc sw1(config-if)#sw acc vlan 20sw1(config-if)#exsw1(config)#do show vlan-sw bVLAN Name                             Status    Ports---- -------------------------------- --------- -------------------------------1    default                          active    Fa1/0, Fa1/4, Fa1/5, Fa1/6                                                Fa1/7, Fa1/8, Fa1/9, Fa1/10                                                Fa1/11, Fa1/12, Fa1/13, Fa1/14                                                Fa1/1510   VLAN0010                         active    Fa1/1, Fa1/220   VLAN0020                         active    Fa1/31002 fddi-default                     act/unsup 1003 token-ring-default               act/unsup 1004 fddinet-default                  act/unsup 1005 trnet-default                    act/unsup sw1(config)#int f1/0sw1(config-if)#sw mo tsw1(config-if)#sw t en dotsw1(config-if)#exsw1(config)#no ip routing  //关闭路由功能

二.进入三层交换机,划分vlan,通过接口给vlan配置虚拟网址(需要关闭交换端口),配置trunk链路

sw2#conf tsw2(config)#int f1/1sw2(config-if)#no switchport //关闭交换端口sw2(config-if)#ip add 192.168.100.1 255.255.255.0sw2(config-if)#no shutsw2(config-if)#do show ip int bInterface                  IP-Address      OK? Method Status                ProtocolFastEthernet0/0            unassigned      YES unset  administratively down down    FastEthernet0/1            unassigned      YES unset  administratively down down    FastEthernet1/0            unassigned      YES unset  up                    up      FastEthernet1/1            192.168.100.1   YES manual up                    up      FastEthernet1/2            unassigned      YES unset  up                    down    FastEthernet1/3            unassigned      YES unset  up                    down    FastEthernet1/4            unassigned      YES unset  up                    down    FastEthernet1/5            unassigned      YES unset  up                    down    FastEthernet1/6            unassigned      YES unset  up                    down    FastEthernet1/7            unassigned      YES unset  up                    down    FastEthernet1/8            unassigned      YES unset  up                    down    FastEthernet1/9            unassigned      YES unset  up                    down    FastEthernet1/10           unassigned      YES unset  up                    down    FastEthernet1/11           unassigned      YES unset  up                    down    FastEthernet1/12           unassigned      YES unset  up                    down    FastEthernet1/13           unassigned      YES unset  up                    down    FastEthernet1/14           unassigned      YES unset  up                    down    FastEthernet1/15           unassigned      YES unset  up                    down    Vlan1                      unassigned      YES unset  up                    up      sw2(config-if)#ex sw2(config)#vlan 10,20sw2(config-vlan)#exsw2(config)#int vlan 10sw2(config-if)#ip add 192.168.10.1 255.255.255.0sw2(config-if)#no shutsw2(config-if)#exsw2(config)#int vlan 20sw2(config-if)#ip add 192.168.20.1 255.255.255.0sw2(config-if)#no shutsw2(config-if)#exsw2(config)#do show ip int bInterface                  IP-Address      OK? Method Status                ProtocolFastEthernet0/0            unassigned      YES unset  administratively down down    FastEthernet0/1            unassigned      YES unset  administratively down down    FastEthernet1/0            unassigned      YES unset  up                    up      FastEthernet1/1            192.168.100.1   YES manual up                    up      FastEthernet1/2            unassigned      YES unset  up                    down    FastEthernet1/3            unassigned      YES unset  up                    down    FastEthernet1/4            unassigned      YES unset  up                    down    FastEthernet1/5            unassigned      YES unset  up                    down    FastEthernet1/6            unassigned      YES unset  up                    down    FastEthernet1/7            unassigned      YES unset  up                    down    FastEthernet1/8            unassigned      YES unset  up                    down    FastEthernet1/9            unassigned      YES unset  up                    down    FastEthernet1/10           unassigned      YES unset  up                    down    FastEthernet1/11           unassigned      YES unset  up                    down    FastEthernet1/12           unassigned      YES unset  up                    down    FastEthernet1/13           unassigned      YES unset  up                    down    FastEthernet1/14           unassigned      YES unset  up                    down    FastEthernet1/15           unassigned      YES unset  up                    down    Vlan1                      unassigned      YES unset  up                    up      Vlan10                     192.168.10.1    YES manual up                    down    Vlan20                     192.168.20.1    YES manual up                    down    sw2(config)#int f1/0sw2(config-if)#sw mo tsw2(config-if)#sw t en dotsw2(config-if)#ex

三.给每个主机配置IP地址和网关

PC4> PC4> ip 192.168.100.100 192.168.100.1Checking for duplicate address...PC1 : 192.168.100.100 255.255.255.0 gateway 192.168.100.1PC1> ip 192.168.10.10 192.168.10.1Checking for duplicate address...PC1 : 192.168.10.10 255.255.255.0 gateway 192.168.10.1PC2> PC2> ip 192.168.10.20 192.168.10.1Checking for duplicate address...PC1 : 192.168.10.20 255.255.255.0 gateway 192.168.10.1PC3> ip 192.168.20.20 192.168.20.1Checking for duplicate address...PC1 : 192.168.20.20 255.255.255.0 gateway 192.168.20.1

四.测试是不是全网互通

PC1> ping 192.168.100.100168.100.100 icmp_seq=1 timeoutbytes from 192.168.100.100 icmp_seq=2 ttl=63 time=14.997 msbytes from 192.168.100.100 icmp_seq=3 ttl=63 time=15.984 msbytes from 192.168.100.100 icmp_seq=4 ttl=63 time=16.953 msbytes from 192.168.100.100 icmp_seq=5 ttl=63 time=20.978 msPC1> ping 192.168.10.20bytes from 192.168.10.20 icmp_seq=1 ttl=64 time=0.000 msbytes from 192.168.10.20 icmp_seq=2 ttl=64 time=0.000 msbytes from 192.168.10.20 icmp_seq=3 ttl=64 time=0.979 msbytes from 192.168.10.20 icmp_seq=4 ttl=64 time=0.000 msPC1> ping 192.168.20.20168.20.20 icmp_seq=1 timeoutbytes from 192.168.20.20 icmp_seq=2 ttl=63 time=14.960 msbytes from 192.168.20.20 icmp_seq=3 ttl=63 time=18.941 msbytes from 192.168.20.20 icmp_seq=4 ttl=63 time=15.956 msbytes from 192.168.20.20 icmp_seq=5 ttl=63 time=19.973 ms

五.进入三层交换机配置命名访问控制列表

sw2(config)#ip access-list standard kgc  //进入标准访问控制,命名叫kgcsw2(config-std-nacl)#permit host 192.168.10.10  //允许10.10主机访问sw2(config-std-nacl)#deny 192.168.10.0 0.0.0.255 //拒绝10.0网段主机访问sw2(config-std-nacl)#permit any  //允许所有主机访问sw2(config-std-nacl)#exsw2(config)#do show access-lists    //查看访问控制列表Standard IP access list kgc    10 permit 192.168.10.10    20 deny   192.168.10.0, wildcard bits 0.0.0.255    30 permit anysw2(config)#int f1/1sw2(config-if)#ip access-group kgc out  //应用于接口,离限制最近的,如果我要设置为入,我需要设置三次,出就要一次就够了sw2(config-if)#ex

六.测试我们实验的需求是否生效

PC1> ping 192.168.100.10084 bytes from 192.168.100.100 icmp_seq=1 ttl=63 time=18.941 ms84 bytes from 192.168.100.100 icmp_seq=2 ttl=63 time=15.408 ms84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=12.003 ms84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=20.997 msPC3> ping 192.168.100.10084 bytes from 192.168.100.100 icmp_seq=1 ttl=63 time=20.942 ms84 bytes from 192.168.100.100 icmp_seq=2 ttl=63 time=14.992 ms84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=13.963 ms84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=14.925 ms84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=21.940 msPC2> ping 192.168.100.100*192.168.10.1 icmp_seq=1 ttl=255 time=8.972 ms (ICMP type:3, code:13, Communication administratively prohibited)*192.168.10.1 icmp_seq=2 ttl=255 time=10.971 ms (ICMP type:3, code:13, Communication administratively prohibited)*192.168.10.1 icmp_seq=3 ttl=255 time=5.987 ms (ICMP type:3, code:13, Communication administratively prohibited)*192.168.10.1 icmp_seq=4 ttl=255 time=10.969 ms (ICMP type:3, code:13, Communication administratively prohibited)*192.168.10.1 icmp_seq=5 ttl=255 time=2.998 ms (ICMP type:3, code:13, Communication administratively prohibited)

七.我们再加一条需求,我们有允许10.20主机可以去访问

sw2(config)#ip access-list standard kgcsw2(config-std-nacl)#12 permit host 192.168.10.20  //我们只能写10的上面或者10-20之间,我们要写到20下面就没有任何意义,已经拒绝10.0网段的了再写10.20无意义。sw2(config-std-nacl)#exsw2(config)#do show access-listsStandard IP access list kgc    10 permit 192.168.10.10 (8 matches)    12 permit 192.168.10.20    20 deny   192.168.10.0, wildcard bits 0.0.0.255 (10 matches)    30 permit any (5 matches)

八.来测试PC2,10.20能不能访问pc4主机

PC2> ping 192.168.100.100192.168.100.100 icmp_seq=1 timeout192.168.100.100 icmp_seq=2 timeout84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=20.970 ms84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=17.950 ms84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=18.008 ms

九.删除访问控制列表的一条,如果要删除整租ACL,no ip access-ist stand kgc

sw2(config)#ip access-list standard kgcsw2(config-std-nacl)#no 12sw2(config-std-nacl)#do show access-lists                                  Standard IP access list kgc    10 permit 192.168.10.10 (8 matches)    20 deny   192.168.10.0, wildcard bits 0.0.0.255 (10 matches)    30 permit any (5 matches)
sw2(config)#no ip access-list standard kgc            sw2(config)#do show access-lists          sw2(config)#

本章内容结束,谢谢收看

很赞哦!
控制 配置 主机 接口 交换机 端口 链路 实验 测试 二层 地址 网段 需求 之间 信息 全网 内容 功能 意义 我要 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 义乌软件开发税率 java合并获得数据库 可视化 数据库 航天a6无法连接服务器 国家规定国际网络安全标准 数据库管理系统怎么维护数据 查询数据库中所有空表 理想软件开发 人地系统主题数据库 代理服务器可以用网关设备吗 无法和服务器建立安全的连接苹果 前海微微互联网络技术 数据库结构文档 钱塘新区直播软件开发 mpd音乐服务器系统 职中网络服务器管理必考题 数据库HW2答案 方舟服务器pvp生存实况 绿盟科技软件开发 数据库基础技术实验分析 服务器开ftp服务安全吗 深圳扩斯网络技术有限公司 湖北浪潮服务器维修调试哪家好 网络安全主题讲座标题 数据库怎么创建表格语法 数据库码值在哪里 网络安全与信息化协调处 安全测试和渗透服务器 网络安全禁用怎么开启 杭州鱼科网络技术有限公司

相关文章

0