A. 路由器 訪問列表的設置
什麼是訪問列表
IP Access-list:IP訪問列表或訪問控制列表,簡稱IP ACL
ACL就是對經過網路設備的數據包根據一定的規則進行數據包的過濾
訪問控制列表的作用
內網布署安全策略,保證內網安全許可權的資源訪問
內網訪問外網時,進行安全的數據過濾
防止常見病毒、木馬、攻擊對用戶的破壞
ACL一般配置步驟
1、定義規則(哪些數據允許通過,哪些數據不允許通過);
2、將規則應用在路由器(或三層交換機)的介面上。
兩種類型:
標准ACL(standard IP ACL)
擴展ACL (extended IP ACL)
IP標准訪問列表的配置
1、定義標准ACL
編號的標准訪問列表(路由器和三層交換機支持)Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩碼]
命名的標准訪問列表(路由器、三層交換機和二層交換機支持)
2、應用ACL到介面
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的標准訪問列表(路由器、三層交換機)
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩碼]
switch(config-if)#ip access-group name { in | out }
IP擴展訪問列表的配置
1.定義擴展的ACL:
編號的擴展ACL (路由器和三層交換機支持)
Router(config)#access-list <100-199> { permit /deny }
協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
命名的擴展ACL (路由器、三層交換機和二層交換機支持)
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
2.應用ACL到介面:
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基於時間的訪問控制列表
通過基於時間的定時訪問控制列表,定義在什麼時間允許或拒絕數據包。
只不過在配置ACL之前定義一個時間范圍。然後再通過引用這個時間范圍來對網路中的流量進行科學合理的限制。
對於不同的時間段實施不同的訪問控制規則
在原有ACL的基礎上應用時間段
任何類型的ACL都可以應用時間段
基於時間的列表的配置
校正路由器時鍾
在全局模式
Clock set hh:mm:ss date month year 設置路由器的當前時間
Clock up_calender 保存設置
配置時間段
時間段
絕對時間段(absolute)
周期時間段(periodic)
混合時間段:先絕對,後周期
Router(config)# time-range time-range-name 給時間段取名,配置ACL時通過名字引用
配置絕對時間
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date:表示時間段的起始時間。time表示時間,格式為「hh:mm」。date表示日期,格式為「日 月 年」
end time date:表示時間段的結束時間,格式與起始時間相同
示例:absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期時間
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值 說明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平時(星期一至五)
Weekend 周末(星期六至日)
示例:periodic weekdays 09:00 to 18:00
3、關聯ACL與時間段,應用時間段
在ACL規則中使用time-range參數引用時間段
只有配置了time-range的規則才會在指定的時間段內生效,其它未引用時間段的規則將不受影響
access-list 101 permit ip any any time-range time-range-name
驗證訪問列表和time-range介面配置
Router# show access-lists !顯示所有訪問列表配置
Router#show time-range ! 顯示time-range介面配置
註:1、一個訪問列表多條過濾規則
按規則來進行匹配。
規則匹配原則:
從頭到尾,至頂向下的匹配方式
匹配成功,則馬上使用該規則的「允許/拒絕……」
一切未被允許的就是禁止的。定義訪問控制列表規則時,最終的預設規則是拒絕所有數據包通過,即deny any any
顯示全部的訪問列表
Router#show access-lists
顯示指定的訪問列表
Router#show access-lists <1-199>
顯示介面的訪問列表應用
Router#show ip interface 介面名稱 介面編號
一個埠在一個方向上只能應用一組ACL。
銳捷全系列交換機可針對物理介面和SVI介面應用ACL。
針對物理介面,只能配置入棧應用(In);
針對SVI(虛擬VLAN)介面,可以配置入棧(In)和出棧(Out)應用。
訪問列表的預設規則是:拒絕所有。
對於標准ACL,應盡量將ACL設置在離目標網路最近的介面,以盡可能擴大源網路的訪問范圍。
對於擴展ACL,應盡量將ACL設置在離源網路最近的介面,以盡可能減少網路中的無效數據流。
B. 不同VLAN之間的數據訪問是如何實現
利用路由器實現不同VLAN之間通信的具體操作如下:
⒈在同一個交換機上創建VLAN1、VLAN2兩個不同的VLAN,將埠5和埠10分別分配到兩個VLAN中(確保VLAN1、VLAN2所連設備的IP地址在不同的網段上);
⒉在交換機的快速乙太網埠配置模式(SX (config-if) #)下,鍵入trunk on命令,打開trunk功能;
⒊在路由器的埠配置模式(RX (config-if) #)下,鍵入no ip address命令刪除原有的IP地址;
⒋鍵入interface fastethernet 0/0.1,劃分子埠
鍵入encapsulation isl 1,封裝ISL協議
鍵入ip address ip-address 255.255.255.0(確保ip-address與VLAN1所連設備的IP地址在同一網段);
⒌鍵入interface fastethernet 0/0.2,劃分子埠2
鍵入encapsulation isl 2,封裝ISL協議
鍵入ip address ip-address 255.255.255.0(確保ip-address與VLAN2所連設備的IP地址在同一網段)。
建立標準的IP訪問列表拒絕特定的主機訪問本地計算機
以Cisco26系列路由器為例,下面介紹建立標準的IP訪問列表拒絕特定的主機訪問本地計算機的步驟:
⒈查連接線路,確保特定主機與本地計算機能夠互相通訊。
⒉鍵入config terminal,進入全局配置模式(RX (config) #)。
⒊鍵入access-list deny 192.168.Y.1 0.0.0.0(Y為對方路由器編號)。
⒋鍵入access-list 1 permit 0.0.0.0 255.255.255.255。
⒌鍵入int s0/0,進入串口配置模式(RX (config-if )#)。
⒍鍵入ip access-group 1 in,在串口上應用此訪問列表。
⒎在特權模式(RX#)下,鍵入show ip access-list命令查看IP訪問列表。
⒏特權模式(RX#)下,鍵入show ip interface serial 0/0命令查看埠的訪問列表。
⒐特定主機上鍵入ping命令,驗證訪問列表的作用,此時對方計算機將無法ping通過本地計算機。
實現靜態路由
以兩台Cisco 26路由器為例,下面將列出實現靜態路由具體步驟:
⒈在路由器的全局配置模式(RX (config) #)下,鍵入int f0/0命令,進入乙太網口的配置模式(RX (config-if) #)。
⒉在全局配置模式(RX (config) #)下,鍵入int s0/0命令,進入串口配置模式(RX (config-if) #)。
⒊在全局配置模式(RX (config) #)下,鍵入ip route 192.168.y.0 255.255.255.0 192.168.100.y,設置靜態路由(y為對方路由器的編號)。
⒋重復以上步驟,對另一台路由器進行同樣的配置。
⒌在特權模式(RX#)下,鍵入show ip route命令查看靜態路由表。
⒍鍵入ping 192.168.y.100命令,測試與對方路由器乙太網口的通訊(y為對方路由器的編號)。
⒎在特權模式(RX#)下,鍵入show ip access-list命令查看IP訪問列表。
⒏特權模式(RX#)下,鍵入show ip interface serial 0/0命令查看埠的訪問列表。
⒐特定主機上鍵入ping命令,驗證訪問列表的作用,此時對方計算機將無法ping通過本地計算機。
實現靜態路由
以兩台Cisco 26路由器為例,下面將列出實現靜態路由具體步驟:
⒈在路由器的全局配置模式(RX (config) #)下,鍵入int f0/0命令,進入乙太網口的配置模式(RX (config-if) #)。
⒉在全局配置模式(RX (config) #)下,鍵入int s0/0命令,進入串口配置模式(RX (config-if) #)。
⒊在全局配置模式(RX (config) #)下,鍵入ip route 192.168.y.0 255.255.255.0 192.168.100.y,設置靜態路由(y為對方路由器的編號)。
⒋重復以上步驟,對另一台路由器進行同樣的配置。
⒌在特權模式(RX#)下,鍵入show ip route命令查看靜態路由表。
⒍鍵入ping 192.168.y.100命令,測試與對方路由器乙太網口的通訊(y為對方路由器的編號)。
利用IGRP路由協議實現動態路由
下面以Cisco26系列路由器為例,介紹利用IGRP路由協議實現動態路由的方法:
⒈鍵入config terminal,進入全局配置模式(RX (config) #)。
⒉鍵入no ip route 192.168.y.0 255.255.255.0 192.168.100.y,取消靜態路由。
⒊鍵入router igrp 100,啟動IGRP路由協議。
⒋在路由協議的配置模式(RX (config-router) #)下,鍵入network 192.168.x.0和network 192.168.100.0(x為路由器的編號),指明與路由器直接相連的網路。
⒌鍵入show ip protocols 命令查看IGRP協議的相關信息。
⒍鍵入show ip route命令查看動態路由表。
⒎鍵入debug ip igrp transaction 命令查看IGRP路由消息。
⒏鍵入no debug all命令停止顯示。
⒐Ping對方路由器乙太網口的IP地址,檢查連通與否。
C. 我想在cisco3560上實現vlan1訪問vlan2,vlan2不能訪問vlan1怎麼做最好有具體命令
樓上的方法明顯不行,第一這東西寫在 in vlan介面上毫無意義,要麼寫在屬於相應vlan的介面上。
然後有個更大的錯誤,包是要來回的你阻斷的vlan2去往vlan1的包,那麼vlan2的主機就不能回包了,自然通信就不能進行了。
要做到這個必須要使用類似防火牆的東西,在思科設備上有個簡單防火牆,叫zone-based policy firewall,但是估計你的3560的IOS不能支持,你可以試下
主要命令
zone security ZONE_IN_NAME
zone security ZONE_OUT_NAME
zone-pair security IN_OUT_NAME source ZONE_OUT_NAME destination ZONE_IN_NAME
D. 在思科三層交換機上怎麽用訪問控制列表限制一個VLAN訪問另一個VLAN
操作如下:
訪問控制要求vlan10和 vlan20之間不能訪問,但都能訪問vlan30
通過vlan之間的acl方式實現:
1、配置VLAN。
Switch(config)# vlan 10 // 創建vlan 10
Switch(config-vlan)# vlan 20
Switch(config-vlan)# vlan 30
Switch(config-vlan)# int vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠IP
Switch(config-if)# int vlan 20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# int vlan 30
Switch(config-if)# ip address 192.168.30.1 255.255.255.0
2、配置ACL 。
Switch(config)# access-list 101 permit ip 192.168.10.0
Switch(config)# access-list 102 permit ip 192.168.20.0
3、應用ACL至VLAN埠。
Switch(config)# int vlan 10
Switch(config-if)# ip access-group 101 in
Switch(config)# int vlan 20
Switch(config-if)# ip access-group 102 in
E. 華為交換機配置vlan設定IP及路由做訪問控制列表怎麼做
首先有幾個問題你沒有說太明白,我只好做假設。
1,你所給的5個IP地址,是配置在S93上作為5個VLAN的網關來使用的嗎?你沒說明,我只能假設是。
2,還有你的VLAN是在S93上開始的嗎?也就是說S93的接入口該是什麼模式?你沒說明,我只能假設開始於S93既交換機埠都是access模式。
3,設置靜態路由則我們需要嚇一跳地址和出介面,你沒有給出。我只能做個假設。
好了配置開始。(接下來我寫的是配置腳本,你可以直接復制使用,當然就沒必要復制其中我用漢字進行說明的部分了)
首先配置VLAN
vlan 2
vlan 3
vlan 4
vlan 5
vlan 6 (一般使用VLAN不會用到VLAN1這是個莫用規則,因為VLAN1在所有設備上都存在,使用起來有諸多不便,還存在安全隱患)
vlan7(按照你的意思我猜測你的VLAN在此終結,也就是說上聯口要有IP地址,而在93上IP地址是只能配在VLAN中而不能配在介面下的,所以將上聯口的互聯地址配置在此VLAN中,將上聯口加入此VLAN即可)
interface vlanif 2
ip address 192.168.10.6 255.255.254.0(你沒有給出掩碼,經過我的計算只有255.255.254.0這個掩碼能滿足你現在過給的網段地址)
interface vlanif 3
ip address 192.168.20.6 255.255.254.0
interface vlanif 4
ip address 192.168.30.6 255.255.254.0
interface vlanif 5
ip address 192.168.40.6 255.255.254.0
interface vlanif 6
ip address 192.168.50.6 255.255.254.0
interface vlanif 7
ip address ?
interface gig 1/0/0
port link-type access (沒做過S93的估計會指出這不用改,呵呵。事實上93上埠的默認狀態是trunk所以沒做過的 請閉嘴)
port default vlan 2
interface gig 1/0/1
port link-type access
port default vlan 3
interface gig 1/0/2
port link-type access
port default vlan 4
interface gig 1/0/3
port link-type access
port default vlan 5
interface gig 1/0/4
port link-type access
port default vlan 6
interface gig 1/0/5
port link-type access
port default vlan 7
ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?(因為你沒指明上聯口互聯地址我只能寫?號,這里要寫上聯口的對端地址。)
ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?
接下來是訪問控制,在93中訪問控制列表只是工具不能直接在埠下調用。
acl 3001(要做基於目的地址和源地址的訪控必須是高級訪問控制列表,從3000開始
rule 0 permit destinationg 192.168.10.6 0.0.2.255 source 10.126.80.20 0.0.0.0 (注意此處用的是反掩碼)
rule 1 permit destinationg 192.168.10.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc1
if-match acl 3001
traffic behavior tb1
permit
traffic policy tp1
classifier tc1 behavior tb1
quit
acl 3002
rule 0 permit destinationg 192.168.20.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.20.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc2
if-match acl 3002
traffic behavior tb2
permit
traffic policy tp2
classifier tc2 behavior tb2
quit
acl 3003
rule 0 permit destinationg 192.168.30.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.30.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc3
if-match acl 3003
traffic behavior tb3
permit
traffic policy tp3
classifier tc3 behavior tb3
quit
acl 3002
rule 0 permit destinationg 192.168.40.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.40.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny source any
traffic classifier tc4
if-match acl 3004
traffic behavior tb4
permit
traffic policy tp4
classifier tc4 behavior tb4
quit
acl 3005
rule 0 permit destinationg 192.168.50.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.50.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc5
if-match acl 3005
traffic behavior tb5
permit
traffic policy tp5
classifier tc5 behavior tb5
quit
acl 3006
rule 0 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.10.6 0.0.2.255
rule 1 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.20.6 0.0.2.255
rule 2 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.30.6 0.0.2.255
rule 3 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.40.6 0.0.2.255
rule 4 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.50.6 0.0.2.255
rule 5 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.10.6 0.0.2.255
rule 6 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.20.6 0.0.2.255
rule 7 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.30.6 0.0.2.255
rule 8 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.40.6 0.0.2.255
rule 9 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.50.6 0.0.2.255
rule 10 deny any
traffic classifier tc6
if-match acl 3006
traffic behavior tb6
permit
traffic policy tp6
classifier tc6 behavior tb6
quit(注意訪問控制列表應該是雙向的不僅要控制回來還要控制出去注意綁定方向)
interface gig 1/0/0
traffic-policy tp1 outbound
interface gig 1/0/1
traffic-policy tp2 outbound
interface gig 1/0/2
traffic-policy tp3 outbound
interface gig 1/0/3
traffic-policy tp4 outbound
interface gig 1/0/4
traffic-policy tp5 outbound
interface gig 1/0/5
traffic-policy tp6 outbound
(配置完成,如果還有什麼問題,可以問我。)
F. H3C交換機vlan命令
<yidong8lou> 為全局模式
<yidong8lou>sys 進入下面系統模式
[yidong8lou] 為系統模式
[yidong8lou-vlan3300] vlan視圖
[yidong8lou-Vlan-interface3300] vlan借口視圖
H3C交換機配置步驟:
sysname xiangshanyidong 創建用戶名
sys 進入系統視圖
vlan 10 創建vlan
vlan 20 創建vlan
quit 退出系統視圖
interface ethernet 1/0/1 進入埠視圖
port access vlan 20 將埠1的管理APvlan設置成vlan20
poe enable 將埠設置成poe供電模式
port isolate 二層隔離
dis this 查看當前端口下的配置
quit 退出系統視圖
interface gigabitethernet 1/1/2 將千兆口設置視圖
port link-type trunk 將千兆口設置成trunk口
dis this 查看當前埠下的配置信息
port trunk permit vlan all 開啟千兆口
undo shutdown 取消關閉開關
dis this 查看當前埠下的配置信息
quit 退出系統視圖
vlan 3300 創建vlan
quit 退出系統視圖
managment-vlan 10 將vlan 10設置成管理vlan
interface vlan-interface 10 進入管理vlan視圖
ip address 1.1.1.1 24 設置管理vlan的IP地址和子網掩碼
quit 退出系統視圖
user-interface vty 0 4 創建AP下可支持的用戶數量
authentication-mode scheme 將此網路設置成數據認證的方式
user privilege level 3 將管理許可權設置成3級
quit 退出系統視圖
lo
local user added
password simple h3cadmin 服務類型
level 3 管理等級
service-type telnet 表示用戶的服務類型是telnet
save 保存配置
cal-user h3c 本地用戶登錄
注意的地方:
1:進行操作前最好dis cu 保存一下原來的配置,防止出現失誤之後不知道以前的數據。
2:看清管理vlan是多少,只需要更改管理vlan,就是配置了vlan借口的vlan。
3:一定不要忘了保存,保存後把dis cu 的配置信息保存好發給我們,註明是哪個熱點的。
4:不要忘了數接入交換機連接的ap數目,統計到表格裡面。