A. 路由器 访问列表的设置
什么是访问列表
IP Access-list:IP访问列表或访问控制列表,简称IP ACL
ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤
访问控制列表的作用
内网布署安全策略,保证内网安全权限的资源访问
内网访问外网时,进行安全的数据过滤
防止常见病毒、木马、攻击对用户的破坏
ACL一般配置步骤
1、定义规则(哪些数据允许通过,哪些数据不允许通过);
2、将规则应用在路由器(或三层交换机)的接口上。
两种类型:
标准ACL(standard IP ACL)
扩展ACL (extended IP ACL)
IP标准访问列表的配置
1、定义标准ACL
编号的标准访问列表(路由器和三层交换机支持)Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]
命名的标准访问列表(路由器、三层交换机和二层交换机支持)
2、应用ACL到接口
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的标准访问列表(路由器、三层交换机)
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]
switch(config-if)#ip access-group name { in | out }
IP扩展访问列表的配置
1.定义扩展的ACL:
编号的扩展ACL (路由器和三层交换机支持)
Router(config)#access-list <100-199> { permit /deny }
协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
命名的扩展ACL (路由器、三层交换机和二层交换机支持)
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
2.应用ACL到接口:
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基于时间的访问控制列表
通过基于时间的定时访问控制列表,定义在什么时间允许或拒绝数据包。
只不过在配置ACL之前定义一个时间范围。然后再通过引用这个时间范围来对网络中的流量进行科学合理的限制。
对于不同的时间段实施不同的访问控制规则
在原有ACL的基础上应用时间段
任何类型的ACL都可以应用时间段
基于时间的列表的配置
校正路由器时钟
在全局模式
Clock set hh:mm:ss date month year 设置路由器的当前时间
Clock up_calender 保存设置
配置时间段
时间段
绝对时间段(absolute)
周期时间段(periodic)
混合时间段:先绝对,后周期
Router(config)# time-range time-range-name 给时间段取名,配置ACL时通过名字引用
配置绝对时间
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date:表示时间段的起始时间。time表示时间,格式为“hh:mm”。date表示日期,格式为“日 月 年”
end time date:表示时间段的结束时间,格式与起始时间相同
示例:absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期时间
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值 说明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平时(星期一至五)
Weekend 周末(星期六至日)
示例:periodic weekdays 09:00 to 18:00
3、关联ACL与时间段,应用时间段
在ACL规则中使用time-range参数引用时间段
只有配置了time-range的规则才会在指定的时间段内生效,其它未引用时间段的规则将不受影响
access-list 101 permit ip any any time-range time-range-name
验证访问列表和time-range接口配置
Router# show access-lists !显示所有访问列表配置
Router#show time-range ! 显示time-range接口配置
注:1、一个访问列表多条过滤规则
按规则来进行匹配。
规则匹配原则:
从头到尾,至顶向下的匹配方式
匹配成功,则马上使用该规则的“允许/拒绝……”
一切未被允许的就是禁止的。定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过,即deny any any
显示全部的访问列表
Router#show access-lists
显示指定的访问列表
Router#show access-lists <1-199>
显示接口的访问列表应用
Router#show ip interface 接口名称 接口编号
一个端口在一个方向上只能应用一组ACL。
锐捷全系列交换机可针对物理接口和SVI接口应用ACL。
针对物理接口,只能配置入栈应用(In);
针对SVI(虚拟VLAN)接口,可以配置入栈(In)和出栈(Out)应用。
访问列表的缺省规则是:拒绝所有。
对于标准ACL,应尽量将ACL设置在离目标网络最近的接口,以尽可能扩大源网络的访问范围。
对于扩展ACL,应尽量将ACL设置在离源网络最近的接口,以尽可能减少网络中的无效数据流。
B. 不同VLAN之间的数据访问是如何实现
利用路由器实现不同VLAN之间通信的具体操作如下:
⒈在同一个交换机上创建VLAN1、VLAN2两个不同的VLAN,将端口5和端口10分别分配到两个VLAN中(确保VLAN1、VLAN2所连设备的IP地址在不同的网段上);
⒉在交换机的快速以太网端口配置模式(SX (config-if) #)下,键入trunk on命令,打开trunk功能;
⒊在路由器的端口配置模式(RX (config-if) #)下,键入no ip address命令删除原有的IP地址;
⒋键入interface fastethernet 0/0.1,划分子端口
键入encapsulation isl 1,封装ISL协议
键入ip address ip-address 255.255.255.0(确保ip-address与VLAN1所连设备的IP地址在同一网段);
⒌键入interface fastethernet 0/0.2,划分子端口2
键入encapsulation isl 2,封装ISL协议
键入ip address ip-address 255.255.255.0(确保ip-address与VLAN2所连设备的IP地址在同一网段)。
建立标准的IP访问列表拒绝特定的主机访问本地计算机
以Cisco26系列路由器为例,下面介绍建立标准的IP访问列表拒绝特定的主机访问本地计算机的步骤:
⒈查连接线路,确保特定主机与本地计算机能够互相通讯。
⒉键入config terminal,进入全局配置模式(RX (config) #)。
⒊键入access-list deny 192.168.Y.1 0.0.0.0(Y为对方路由器编号)。
⒋键入access-list 1 permit 0.0.0.0 255.255.255.255。
⒌键入int s0/0,进入串口配置模式(RX (config-if )#)。
⒍键入ip access-group 1 in,在串口上应用此访问列表。
⒎在特权模式(RX#)下,键入show ip access-list命令查看IP访问列表。
⒏特权模式(RX#)下,键入show ip interface serial 0/0命令查看端口的访问列表。
⒐特定主机上键入ping命令,验证访问列表的作用,此时对方计算机将无法ping通过本地计算机。
实现静态路由
以两台Cisco 26路由器为例,下面将列出实现静态路由具体步骤:
⒈在路由器的全局配置模式(RX (config) #)下,键入int f0/0命令,进入以太网口的配置模式(RX (config-if) #)。
⒉在全局配置模式(RX (config) #)下,键入int s0/0命令,进入串口配置模式(RX (config-if) #)。
⒊在全局配置模式(RX (config) #)下,键入ip route 192.168.y.0 255.255.255.0 192.168.100.y,设置静态路由(y为对方路由器的编号)。
⒋重复以上步骤,对另一台路由器进行同样的配置。
⒌在特权模式(RX#)下,键入show ip route命令查看静态路由表。
⒍键入ping 192.168.y.100命令,测试与对方路由器以太网口的通讯(y为对方路由器的编号)。
⒎在特权模式(RX#)下,键入show ip access-list命令查看IP访问列表。
⒏特权模式(RX#)下,键入show ip interface serial 0/0命令查看端口的访问列表。
⒐特定主机上键入ping命令,验证访问列表的作用,此时对方计算机将无法ping通过本地计算机。
实现静态路由
以两台Cisco 26路由器为例,下面将列出实现静态路由具体步骤:
⒈在路由器的全局配置模式(RX (config) #)下,键入int f0/0命令,进入以太网口的配置模式(RX (config-if) #)。
⒉在全局配置模式(RX (config) #)下,键入int s0/0命令,进入串口配置模式(RX (config-if) #)。
⒊在全局配置模式(RX (config) #)下,键入ip route 192.168.y.0 255.255.255.0 192.168.100.y,设置静态路由(y为对方路由器的编号)。
⒋重复以上步骤,对另一台路由器进行同样的配置。
⒌在特权模式(RX#)下,键入show ip route命令查看静态路由表。
⒍键入ping 192.168.y.100命令,测试与对方路由器以太网口的通讯(y为对方路由器的编号)。
利用IGRP路由协议实现动态路由
下面以Cisco26系列路由器为例,介绍利用IGRP路由协议实现动态路由的方法:
⒈键入config terminal,进入全局配置模式(RX (config) #)。
⒉键入no ip route 192.168.y.0 255.255.255.0 192.168.100.y,取消静态路由。
⒊键入router igrp 100,启动IGRP路由协议。
⒋在路由协议的配置模式(RX (config-router) #)下,键入network 192.168.x.0和network 192.168.100.0(x为路由器的编号),指明与路由器直接相连的网络。
⒌键入show ip protocols 命令查看IGRP协议的相关信息。
⒍键入show ip route命令查看动态路由表。
⒎键入debug ip igrp transaction 命令查看IGRP路由消息。
⒏键入no debug all命令停止显示。
⒐Ping对方路由器以太网口的IP地址,检查连通与否。
C. 我想在cisco3560上实现vlan1访问vlan2,vlan2不能访问vlan1怎么做最好有具体命令
楼上的方法明显不行,第一这东西写在 in vlan接口上毫无意义,要么写在属于相应vlan的接口上。
然后有个更大的错误,包是要来回的你阻断的vlan2去往vlan1的包,那么vlan2的主机就不能回包了,自然通信就不能进行了。
要做到这个必须要使用类似防火墙的东西,在思科设备上有个简单防火墙,叫zone-based policy firewall,但是估计你的3560的IOS不能支持,你可以试下
主要命令
zone security ZONE_IN_NAME
zone security ZONE_OUT_NAME
zone-pair security IN_OUT_NAME source ZONE_OUT_NAME destination ZONE_IN_NAME
D. 在思科三层交换机上怎麽用访问控制列表限制一个VLAN访问另一个VLAN
操作如下:
访问控制要求vlan10和 vlan20之间不能访问,但都能访问vlan30
通过vlan之间的acl方式实现:
1、配置VLAN。
Switch(config)# vlan 10 // 创建vlan 10
Switch(config-vlan)# vlan 20
Switch(config-vlan)# vlan 30
Switch(config-vlan)# int vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虚端口IP
Switch(config-if)# int vlan 20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# int vlan 30
Switch(config-if)# ip address 192.168.30.1 255.255.255.0
2、配置ACL 。
Switch(config)# access-list 101 permit ip 192.168.10.0
Switch(config)# access-list 102 permit ip 192.168.20.0
3、应用ACL至VLAN端口。
Switch(config)# int vlan 10
Switch(config-if)# ip access-group 101 in
Switch(config)# int vlan 20
Switch(config-if)# ip access-group 102 in
E. 华为交换机配置vlan设定IP及路由做访问控制列表怎么做
首先有几个问题你没有说太明白,我只好做假设。
1,你所给的5个IP地址,是配置在S93上作为5个VLAN的网关来使用的吗?你没说明,我只能假设是。
2,还有你的VLAN是在S93上开始的吗?也就是说S93的接入口该是什么模式?你没说明,我只能假设开始于S93既交换机端口都是access模式。
3,设置静态路由则我们需要吓一跳地址和出接口,你没有给出。我只能做个假设。
好了配置开始。(接下来我写的是配置脚本,你可以直接复制使用,当然就没必要复制其中我用汉字进行说明的部分了)
首先配置VLAN
vlan 2
vlan 3
vlan 4
vlan 5
vlan 6 (一般使用VLAN不会用到VLAN1这是个莫用规则,因为VLAN1在所有设备上都存在,使用起来有诸多不便,还存在安全隐患)
vlan7(按照你的意思我猜测你的VLAN在此终结,也就是说上联口要有IP地址,而在93上IP地址是只能配在VLAN中而不能配在接口下的,所以将上联口的互联地址配置在此VLAN中,将上联口加入此VLAN即可)
interface vlanif 2
ip address 192.168.10.6 255.255.254.0(你没有给出掩码,经过我的计算只有255.255.254.0这个掩码能满足你现在过给的网段地址)
interface vlanif 3
ip address 192.168.20.6 255.255.254.0
interface vlanif 4
ip address 192.168.30.6 255.255.254.0
interface vlanif 5
ip address 192.168.40.6 255.255.254.0
interface vlanif 6
ip address 192.168.50.6 255.255.254.0
interface vlanif 7
ip address ?
interface gig 1/0/0
port link-type access (没做过S93的估计会指出这不用改,呵呵。事实上93上端口的默认状态是trunk所以没做过的 请闭嘴)
port default vlan 2
interface gig 1/0/1
port link-type access
port default vlan 3
interface gig 1/0/2
port link-type access
port default vlan 4
interface gig 1/0/3
port link-type access
port default vlan 5
interface gig 1/0/4
port link-type access
port default vlan 6
interface gig 1/0/5
port link-type access
port default vlan 7
ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?(因为你没指明上联口互联地址我只能写?号,这里要写上联口的对端地址。)
ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?
接下来是访问控制,在93中访问控制列表只是工具不能直接在端口下调用。
acl 3001(要做基于目的地址和源地址的访控必须是高级访问控制列表,从3000开始
rule 0 permit destinationg 192.168.10.6 0.0.2.255 source 10.126.80.20 0.0.0.0 (注意此处用的是反掩码)
rule 1 permit destinationg 192.168.10.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc1
if-match acl 3001
traffic behavior tb1
permit
traffic policy tp1
classifier tc1 behavior tb1
quit
acl 3002
rule 0 permit destinationg 192.168.20.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.20.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc2
if-match acl 3002
traffic behavior tb2
permit
traffic policy tp2
classifier tc2 behavior tb2
quit
acl 3003
rule 0 permit destinationg 192.168.30.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.30.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc3
if-match acl 3003
traffic behavior tb3
permit
traffic policy tp3
classifier tc3 behavior tb3
quit
acl 3002
rule 0 permit destinationg 192.168.40.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.40.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny source any
traffic classifier tc4
if-match acl 3004
traffic behavior tb4
permit
traffic policy tp4
classifier tc4 behavior tb4
quit
acl 3005
rule 0 permit destinationg 192.168.50.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.50.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc5
if-match acl 3005
traffic behavior tb5
permit
traffic policy tp5
classifier tc5 behavior tb5
quit
acl 3006
rule 0 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.10.6 0.0.2.255
rule 1 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.20.6 0.0.2.255
rule 2 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.30.6 0.0.2.255
rule 3 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.40.6 0.0.2.255
rule 4 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.50.6 0.0.2.255
rule 5 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.10.6 0.0.2.255
rule 6 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.20.6 0.0.2.255
rule 7 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.30.6 0.0.2.255
rule 8 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.40.6 0.0.2.255
rule 9 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.50.6 0.0.2.255
rule 10 deny any
traffic classifier tc6
if-match acl 3006
traffic behavior tb6
permit
traffic policy tp6
classifier tc6 behavior tb6
quit(注意访问控制列表应该是双向的不仅要控制回来还要控制出去注意绑定方向)
interface gig 1/0/0
traffic-policy tp1 outbound
interface gig 1/0/1
traffic-policy tp2 outbound
interface gig 1/0/2
traffic-policy tp3 outbound
interface gig 1/0/3
traffic-policy tp4 outbound
interface gig 1/0/4
traffic-policy tp5 outbound
interface gig 1/0/5
traffic-policy tp6 outbound
(配置完成,如果还有什么问题,可以问我。)
F. H3C交换机vlan命令
<yidong8lou> 为全局模式
<yidong8lou>sys 进入下面系统模式
[yidong8lou] 为系统模式
[yidong8lou-vlan3300] vlan视图
[yidong8lou-Vlan-interface3300] vlan借口视图
H3C交换机配置步骤:
sysname xiangshanyidong 创建用户名
sys 进入系统视图
vlan 10 创建vlan
vlan 20 创建vlan
quit 退出系统视图
interface ethernet 1/0/1 进入端口视图
port access vlan 20 将端口1的管理APvlan设置成vlan20
poe enable 将端口设置成poe供电模式
port isolate 二层隔离
dis this 查看当前端口下的配置
quit 退出系统视图
interface gigabitethernet 1/1/2 将千兆口设置视图
port link-type trunk 将千兆口设置成trunk口
dis this 查看当前端口下的配置信息
port trunk permit vlan all 开启千兆口
undo shutdown 取消关闭开关
dis this 查看当前端口下的配置信息
quit 退出系统视图
vlan 3300 创建vlan
quit 退出系统视图
managment-vlan 10 将vlan 10设置成管理vlan
interface vlan-interface 10 进入管理vlan视图
ip address 1.1.1.1 24 设置管理vlan的IP地址和子网掩码
quit 退出系统视图
user-interface vty 0 4 创建AP下可支持的用户数量
authentication-mode scheme 将此网络设置成数据认证的方式
user privilege level 3 将管理权限设置成3级
quit 退出系统视图
lo
local user added
password simple h3cadmin 服务类型
level 3 管理等级
service-type telnet 表示用户的服务类型是telnet
save 保存配置
cal-user h3c 本地用户登录
注意的地方:
1:进行操作前最好dis cu 保存一下原来的配置,防止出现失误之后不知道以前的数据。
2:看清管理vlan是多少,只需要更改管理vlan,就是配置了vlan借口的vlan。
3:一定不要忘了保存,保存后把dis cu 的配置信息保存好发给我们,注明是哪个热点的。
4:不要忘了数接入交换机连接的ap数目,统计到表格里面。