资源描述
单向和双向访问控制l单向访问控制1功能需求及组网说明SwitchAPCAPCBPCCInt-erfacel ip .10.I.-1.1/2 4:.:二单向访问控制配置环境参数PCA、PCB和PCC通过交换机SwitchAA互连其中 PCA 的 IP 地址为 10.1.1.2/24,PCB 的 IP 地址为 10.1.1.3/24, PCC 的 IP 地址为 组网需求PCA、PCB和PCC之间完成单向访问,即PCA可以访问PCB、PCC,但是PCB、PCC 不能访问 PCA2 数据配置步骤单向访问控制流程单向访问控制主要是针对有方向的数据包,例如ICMP,TCP报文等,而对于没有 方向的 UDP 报文,交换机暂时无法进行控制,所以如果要实现单向访 问控制就 简单等同于对ICMP和TCP报文的控制。如果要对UDP报文进行控制,必须知道 UDP报文的端口号。目前也只有E系列交换机、8016、6506和5516能够实现这 种组网,以下按产品分别举例(S8016的配置这里略去)。【3526E 配置方法】1ICMP报文控制PCA 与交换机的 e0/1 端口相连,配置如下:1. 配置二层访问控制规则SwitchAacl number 1002. 配置二层访问控制子规则,禁止从任何端口的入报文出端口到 e0/1 SwitchA-acl-link-100rule deny icmp source 1.1.1.1 0 destination1.1.1.2 0 icmp-type echo3. 激活该规则SwitchApacket-filter ip-group 100TCP 报文单向访问控制1. 配置三层访问控制规则SwitchAacl number 1002. 主机 ip 地址为 1.1.1.1 的 PC 无法向 1.1.1.2 的 PC 发起 TCP 连接建立请求SwitchA-acl-adv-100rule deny tcp established source 1.1.1.1 0 destination 1.1.1.2 03. 激活该规则SwitchApacket-filter ip-group 100【6506 配置方法】ICMP 报文控制PCA 与交换机的 e4/0/1 端口相连,配置如下:1. 配置扩展访问控制规则SwitchAacl number 1002. 配置扩展访问控制子规则,禁止 1.1.1.1 Ping 通 1.1.1.2 SwitchA-acl-adv-100rule 0 deny icmp source 1.1.1.1 0 destination1.1.1.2 03. 进入端口视图 SwitchA-acl-adv-100int e4/0/14. 激活该规则SwitchA-Ethernet4/0/1 packet-filter inbound ip-group 100 rule 0 TCP 报文单向访问控制PCA 与交换机的 e4/0/1 端口相连,配置如下:1. 配置扩展访问控制规则SwitchAacl number 1002. 主机ip地址为的PC可以ping通的PC,但是不能通过网上 邻居查找到,反之则可以SwitchA-acl-adv-100 rule 1 deny tcp established source 1.1.1.1 0 destination 1.1.1.2 03. 进入端口视图SwitchA-acl-adv-100int e4/0/14. 激活该规则SwitchA-Ethernet4/0/1 packet-filter inbound ip-group 100 rule 1【5516 配置方法】ICMP 报文控制PCA 与交换机的 e0/1 端口相连,配置如下:1. 配置二层访问控制规则SwitchAacl number 1002. 配置访问控制子规则,禁止主机 pcb 访问 pca SwitchA-acl-link-100rule deny icmp source 1.1.1.3 0 destination1.1.1.2 03. 配置访问控制子规则,禁止主机 pcc 访问 pca SwitchA-acl-link-100rule deny icmp source 1.1.1.4 0 destination1.1.1.2 04. 激活该规则SwitchApacket-filter ip-group 100TCP 报文单向访问控制1. 配置三层访问控制规则SwitchAacl number 1002. 主机ip地址为的PC可以ping通的PC,但是不能通过网上 邻居查找到 ,反之则可以Sw i tchA-acl-adv- 1 00rule deny tcp source 1 . 1 . 1 . 3 0 dest i nat i on 1 . 1 . 1 . 2 0 destination-port eq 1393. 激活该规则SwitchApacket-filter ip-group 1002.双向访问控制1 功能需求及组网说明双向访问控制配置环境参数说明:通过配置三层交换机的acl来实现vlan之间的访问控制组网需求需求:组网和 vlan 分配如图所示,要求 vlan 10、20、30 均可以访问 server1 但是只有 vlan 10 和 vlan 20 可以访问 server 2,同时 vlan 10、20、30 之间 不能互访。2 数据配置步骤交换机双向访问控制流程如果是低端交换机同一网段内的双向访问控制,也可以通过端口的hybrid属性 来实现,具体的内容可以参考关于端口 bybrid 属性的配置部分。【3526E 配置方法】基础配置1. 创建(进入)vlanlOSwitchA vlan 102. 创建(进入) vlan1O 的虚接口SwitchA interface Vlan-interface 1O3. 给vlan20的虚接口配置IP地址4. 创建(进入) vlan2OSwitchA vlan 2O5. 创建(进入) vlan2O 的虚接口SwitchA interface Vlan-interface 2O6. 给 vlan2O 的虚接口配置 IP 地址 7. 创建(进入)vlan30 SwitchA vlan 308. 创建(进入) vlan30 的虚接口SwitchA interface Vlan-interface 309. 给vlan30的虚接口配置IP地址SwitchA-Vlan-interface30ip address 10. 创建(进入) vlan100SwitchA vlan 10011. 创建(进入) vlan100 的虚接口SwitchA interface Vlan-interface 10012. 给vlanlOO的虚接口配置IP地址SwitchA-Vlan-interface100ip address 13. 创建(进入) vlan2OOSwitchA vlan 2OO14. 创建(进入) vlan2OO 的虚接口SwitchA interface Vlan-interface 2OO15. 给vlan200的虚接口配置IP地址访问控制配置1. 配置ACLSwitchA acl num 1OO2. 配置acl访问控制列表禁止网段访问网段SwitchA-acl-adv-100rule deny ip source 10.10.1.1 0.0.255.255 destination 3. 禁止网段10.10.0.0 访问网段 SwitchA-acl-adv-100rule deny ip source 10.10.1.1 0.0.255.255 destination 4. 禁止网段10.20.0.0 访问网段 SwitchA-acl-adv-100rule deny ip source 10.20.1.1 0.0.255.255 destination 5. 禁止网段10.20.0.0 访问网段 SwitchA-acl-adv-100rule deny ip source 10.20.1.1 0.0.255.255 destination 6. 禁止网段10.30.0.0 访问网段 SwitchA-acl-adv-100rule deny ip source 10.30.1.1 0.0.255.255 destination 7. 禁止网段10.30.0.0 访问网段 SwitchA-acl-adv-100rule deny ip source 10.30.1.1 0.0.255.255 destination 8. 禁止网段10.30.0.0 访问网段 SwitchA-acl-adv-100rule deny ip source 10.30.1.1 0.0.255.255 destination 9. 下发访问控制列表SwitchApacket-filter ip 100【6506 配置方法】基础配置1. 创建(进入)vlanlO SwitchA vlan 102创建(进入)vlanlO的虚接口 SwitchA interface Vlan-interface 103. 给vlan20的虚接口配置IP地址4. 创建(进入) vlan2OSwitchA vlan 205. 创建(进入) vlan20 的虚接口SwitchA interface Vlan-interface 206. 给 vlan20 的虚接口配置 IP 地址7. 创建(进入) vlan30SwitchA vlan 308. 创建(进入) vlan30 的虚接口SwitchA interface Vlan-interface 309. 给 vlan30 的虚接口配置 IP 地址10. 创建(进入) vlan100SwitchA vlan 10011. 创建(进入) vlan100 的虚接口SwitchA interface Vlan-interface 10012. 给 vlan100 的虚接口配置 IP 地址13. 创建(进入) vlan200SwitchA vlan 20014. 创建(进入)vlan200的虚接口SwitchA interface Vlan-interface 20015. 给vlan200的虚接口配置IP地址SwitchA-Vlan-interface200ip address 访问控制配置1. 配置ACLSwitchA acl num 1002. 配置acl访问控制列表禁止网段访问网段SwitchA-acl-adv-100rule 0 deny ip source destination 3. 配置acl访问控制列表禁止网段访问网段SwitchA-acl-adv-100rule 1 deny ip source destination 4. 配置acl访问控制列表禁止网段访问网段SwitchA-acl-adv-100rule 2 deny ip source destination 5. 配置acl访问控制列表禁止网段访问网段SwitchA-acl-adv-100rule 3 deny ip source destination 6. 配置acl访问控制列表禁止网段访问网段SwitchA-acl-adv-100rule 4 deny ip source destination 7. 配置acl访问控制列表禁止网段访问网段SwitchA-acl-adv-100rule 5 deny ip source destination 8. 配置acl访问控制列表禁止网段访问网段SwitchA-acl-adv-100rule 6 deny ip source 10.30.1.1 0.0.255.255 destination 进入端口视图SwitchAint e4/0/19. 下发访问控制列表SwitchApacket-filter inbound ip 100 not-care-for-interface【5516 配置方法】基础配置1. 创建(进入)vlanlOSwitchA vlan 102. 创建(进入) vlan1O 的虚接口SwitchA interface Vlan-interface 1O3. 给vlan20的虚接口配置IP地址4. 创建(进入) vlan2OSwitchA vlan 2O5. 创建(进入) vlan2O 的虚接口SwitchA interface Vlan-interface 2O6. 给 vlan2O 的虚接口配置 IP 地址7. 创建(进入) vlan3OSwitchA vlan 3O8. 创建(进入) vlan3O 的虚接口SwitchA interface Vlan-interface 309. 给 vlan30 的虚接口配置 IP 地址 SwitchA-Vlan-interface30ip address 10. 创建(进入)vlanlOOSwitchA vlan 10011. 创建(进入) vlan1OO 的虚接口SwitchA interface Vlan-interface 1OO12. 给 vlan1OO 的虚接口配置 IP 地址13. 创建(进入) vlan2OOSwitchA vlan 2OO14. 创建(进入) vlan2OO 的虚接口SwitchA interface Vlan-interface 2OO15. 给 vlan2OO 的虚接口配置 IP 地址访问控制配置1. 配置 ACLSwitchA acl num 1OO2. 配置 acl 访问控制列表禁止网段 1O.1O.O.O 访问网段 3. 配置 acl 访问控制列表禁止网段 1O.1O.O.O 访问网段 4. 配置acl访问控制列表禁止网段访问网段SwitchA-acl-adv-100rule deny ip source destination 5. 配置 acl 访问控制列表禁止网段 10.20.0.0 访问网段 SwitchA-acl-adv-100rule deny ip source destination 6. 配置 acl 访问控制列表禁止网段 10.30.0.0 访问网段 SwitchA-acl-adv-100rule deny ip source destination 7. 配置 acl 访问控制列表禁止网段 10.30.0.0 访问网段 SwitchA-acl-adv-100rule deny ip source destination 8. 配置 acl 访问控制列表禁止网段 10.30.0.0 访问网段 SwitchA-acl-adv-100rule deny ip source destination 9. 下发访问控制列表 SwitchApacket-filter ip-group 100
展开阅读全文