1、实验十六 交换机单向访问控制的实现一、 实验目的1. 了解实现单向访问控制二、 应用环境单向访问控制允许 A 网段的用户可以访问 B 网段的 tcp 应用,而 B 网段不能访问 A 网段的 tcp 应用。适用于某些有特殊要求的场合。 譬如:一个公司有财务部和业务部,财务部可以访问业务部的数据,但是不允许业务部的机器访问财务部的数据。三、 实验设备1.DCRS-5656-28C 交换机 1 台 2.PC 机 24 台四、 实验拓扑PC1Vlan2 PC2Vlan3DCRS-5650-01PC3Vlan4五、 实验要求1. 交换机划分为两个 VLAN,VLAN2 和 VLAN3:2PC1-PC2
2、的网络设置为:5.验证: PC3 可以 ping 通任何 PC。 PC2、PC1 不可以 ping 通任何 PC 若实验结果和理论相符,则本实验完成。六、 实验步骤1.交换机恢复出厂设置 DCRS-5650-28C-28Cenable DCRS-5650-28C-28C#set default Are you sure? Y/N = y DCRS-5650-28C-28C#write DCRS-5650-28C-28C#reload Process with reboot? Y/N yVLAN 端口成员 地址 MaskVlan 2 0/0/10/1/8 192.168.5.1 255.255.
3、255.0Vlan 3 0/0/90/0/16 10.1.157.1 255.255.255.0Vlan 4 0/0/170/0/24 172.16.1.1 255.255.255.0设备 IP 地址 gateway MaskPC1 192.168.5.101 192.168.5.1 255.255.255.0PC2 10.1.157.101 10.1.157.1 255.255.255.0PC2 172.16.1.101 172.16.1.1 255.255.255.02. 创建 vlan2 和 vlan3、vlan4 并给相应 vlan 添加端口。 DCRS-5650-28C-28C(Co
4、nfig)#vlan 2 DCRS-5650-28C(Config-Vlan2)#switchport interface ethernet 0/0/1-8 DCRS-5650-28C(Config-Vlan2)#exit DCRS-5650-28C(Config)#vlan 3 DCRS-5650-28C(Config-Vlan2)#switchport interface ethernet 0/0/9-16 DCRS-5650-28C(Config-Vlan3)#exit DCRS-5650-28C(Config)#vlan 4 DCRS-5650-28C(Config-Vlan4)#sw
5、itchport interface ethernet 0/0/17-24 DCRS-5650-28C(Config-Vlan4)#exit 3.配置交换机各 vlan 虚接口的 IP 地址1) 开启三层转发功能(默认情况下此功能关闭,若要配置多个 IP,需要先开启此功能) DCRS-5650-28C(Config)#l3 enable (此命令不能自动补全,需手动输入)2) 分别给 Vlan 2 与 Vlan 3、vlan4 配置 IP 地址 DCRS-5650-28C(Config)#int vlan 2 DCRS-5650-28C(Config-If-Vlan2)#ip address
6、192.168.5.1 255.255.255.0 DCRS-5650-28C(Config-If-Vlan2)#no shut DCRS-5650-28C(Config-If-Vlan2)#exit DCRS-5650-28C(Config)#int vlan 3 DCRS-5650-28C(Config-If-Vlan3)#ip address 10.1.146.1 255.255.255.0 DCRS-5650-28C(Config-If-Vlan3)#no shut DCRS-5650-28C(Config-If-Vlan3)#exit DCRS-5650-28C(Config)#in
7、t vlan 4 DCRS-5650-28C(Config-If-Vlan4)#ip address 172.16.1.1 255.255.255.0 DCRS-5650-28C(Config-If-Vlan4)#no shut DCRS-5650-28C(Config-If-Vlan4)#exit4. 创建 ACL DCRS-5650-28C(Config)#firewall enable 配置访问控制列表功能开启 DCRS-5650-28C(Config)Firewall default permit 默认动作为全部允许 DCRS-5650-28C(config)#ip access-li
8、st extended noping DCRS-5650-28C(config-ip-ext-nacl-noping)#deny icmp 192.168.5.0 0.0.0.255 any-destination 8192.168.5.0 网段 ping 任何网段,ICMP 报文类型为 8 时(既 ICMP 报文为 Echo request)时会被拒绝,这样既实现了ICMP 服务的单项控制。 DCRS-5650-28C(config-ip-ext-nacl-noping)#deny icmp 10.1.146.0 0.0.0.255 any-destination 810.1.146.0 网
9、段 ping 任何网段, ICMP 报文类型为 8 时(既 ICMP 报文为 Echo request)时会被拒绝,这样既实现了ICMP 服务的单项控制。 DCRS-5650-28C(config-ip-ext-nacl-noping)#exit DCRS-5650-28C(config-if-port-range)#no ip access-group noping in DCRS-5650-28C(config-if-port-range)#q DCRS-5650-28C(config)#interface ethernet 0/0/1-8 DCRS-5650-28C(config-if-
10、port-range)#ip access-group noping in DCRS-5650-28C(config-if-port-range)#exit DCRS-5650-28C(config)#interface ethernet 0/0/9-16 DCRS-5650-28C(config-if-port-range)#ip access-group noping in DCRS-5650-28C(config-if-port-range)#exit DCRS-5650-28C(config)#5. 在 PC 上配置各自 IP,使用 ping 命令验证实验设备 IP 地址 gatewa
11、y MaskPC1 192.168.5.101 192.168.10.1 255.255.255.0验证 PC 之间是否连通 :七、 课后练习1. 在每个 VLAN 内部接入多台 PC,尝试看看各个 VLAN 内部之间能否 ping 通?为什么?2. 按照上述配置,如果希望各个 VLAN 内部都能够相互ping 通,访问控制列表如何编写?八、 相关配置命令详解1. 配置 access-list (1)配置数字标准 IP 访问列表 (2)配置数字扩展 IP 访问列表 (3)配置命名标准 IP 访问列表 a) 创建一个命名标准 IP 访问列表b) 指定多条 permit 或 deny 规则表项 c
12、) 退出访问表配置模式4) 配置命名扩展 IP 访问列表 PC2 10.1.146.101 10.1.146.1 255.255.255.0PC3 172.16.1.101 172.16.1 255.255.255.0PC PC 所在端口 动作 结果PC 1 0/0/1-8 PC1 ping PC2 不通PC 1 0/0/1-8 PC1 ping PC3 不通PC 2 0/0/9-16 PC2 ping PC1 不通PC 2 0/0/9-16 PC2 ping PC3 不通PC 3 0/0/17-24 PC3 ping PC1 通PC 3 0/0/17-24 PC3 ping PC2 通a)
13、创建一个命名扩展 IP 访问列表 b) 指定多条 permit 或 deny 规则表项 c) 退出访问表配置模式 2. 配置包过滤功能 (1)全局打开包过滤功能 (2)配置默认动作( default action) 3. 将 accessl-list 绑定到特定端口的特定方向配置 access-list 配置标准 IP 访问列表 将 accessl-list 绑定到特定端口的特定方向 access-list(extended) 命令 解释全局配置模式access-list deny | permit | any-source |host-source no access-list 创建一条数字
14、标准 IP 访问列表,如果已 有此访问列表,则增加一条规则(rule)表项; 本命令的 no 操作为删除一条数字标准 IP 访问列表。命令 解释物理接口配置模式ip access-group in|out no ip access-group in|out在端口的某个方向上应用一条 access- list;本命令的 no 操作为删除绑定在端口上的 access-list。命令 : access-list deny | permit icmp | any-source | host-source | any-destination | host-destination precedence t
15、os access-list deny | permit igmp | any-source | host-source | any-destination | host-destination precedence tos access-list deny | permit tcp | any-source | host-source sPort | any-destination | host-destination dPort ack | fin | psh | rst | syn | urg precedence tos access-list deny | permit udp |
16、any-source | host-source sPort | any-destination | host-destination dPort precedence tos access-list deny | permit eigrp | gre | igrp | ipinip | ip | | any-source | host-source | any-destination | host-destination precedence tos no access-list 功能:创建一条匹配特定 IP 协议或所有 IP 协议的数字扩展 IP 访问规则;如果此编号数字扩展访问列表不存在
17、,则创建此访问列表;本命令的 no 操作为删除一条数字扩展 IP 访问列表。 参数: 为访问表标号,100-199;为源 IP 地址,格式为点分十进制;为源 IP 的反掩码,格式为点分十进制;为目的 IP 地址,格式为点分十进制; 为目的 IP 的反掩码,格式为点分十进制,关心的位置 0,忽略的位置 1; , igmp 的类型;,icmp 的类型;,icmp 的协议编号;,IP 优先级,0-7;, tos 值,0-15 ; ,源端口号, 0-65535;,目的端口号,0-65535。 命令模式:全局配置模式缺省情况:没有配置任何的访问列表。 使用指南:当用户第一次指定特定时,创建此编号的 AC
18、L,之后在此 ACL 中添加表项。 举例:创建编号为 110 的数字扩展访问列表。拒绝 icmp 报文通过,允许目的地址为 192.168.0.1目的端口为 32 的 udp 包通过。 Switch(Config)#access-list 110 deny icmp any-source any-destination Switch(Config)#access-list 110 permit udp any-source host-destination 192.168.0.1 dPort 32 access-list(standard) 命令:access-list deny | perm
19、it | any-source | host-source no access-list 功能:创建一条数字标准 IP 访问列表,如果已有此访问列表,则增加一条 rule 表项;本命令的 no 操作为删除一条数字标准 IP 访问列表。 参数:为访问表标号,1-99;为源 IP 地址,格式为点分十进制;为源 IP 的反掩码,格式为点分十进制。 命令模式:全局配置模式 缺省情况:没有配置任何的访问列表。 使用指南:当用户第一次指定特定时,创建此编号的 ACL,之后在此 ACL 中添加表项。 举例:创建一条编号为 20 的数字标准 IP 访问列表,允许源地址为 10.1.1.0/24 的数据包通过,
20、拒绝其余源地址为 10.1.1.0/16 的数据包通过。 Switch(Config)#access-list 20 permit 10.1.1.0 0.0.0.255 Switch(Config)#access-list 20 deny 10.1.1.0 0.0.255.255命令:show ip rip功能:显示 RIP 当前运行状态及配置信息。 命令模式:特权用户配置模式使用指南:根据本命令的输出信息,用户可以查看 RIP 路由的缺省权值、指定发送的目标地址、优先值等。 firewall命令:firewall enable | disable 功能:允许防火墙起作用或禁止防火墙起作用。
21、参数:enable 表示允许防火墙起作用;disable 表示禁止防火墙起作用。 缺省情况:缺省为防火墙不起作用。 命令模式:全局配置模式 使用指南:在允许和禁止防火墙时,都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上。使防火墙不起作用后将删除端口上绑定的所有 ACL。 举例:允许防火墙起作用。 Switch(Config)#firewall enable firewall default 命令:firewall default permit | deny 功能:设置防火墙默认动作。 参数: permit 表示允许数据包通过;deny 表示拒绝数据包通过。 命
22、令模式:全局配置模式 缺省情况:缺省动作为 permit。 使用指南:此命令只影响端口入口方向的 IP 包,其余情况下数据包均可通过交换机。 举例:设置防火墙默认动作为拒绝数据包通过。 Switch(Config)#firewall default deny ip access extended 命令:ip access extended no ip access extended 功能:创建一条命名扩展 IP 访问列表;本命令的 no 操作为删除此命名扩展 IP 访问列表(包含所有表项) 。 参数:为访问表标名,字符串长度为 1-8, 不允许为纯数字序列。 命令模式:全局配置模式缺省情况:没
23、有配置任何的访问列表。 使用指南:第一次以调用此命令后,只是创建一个空的命名访问列表,其中不包含任何表项。 举例:创建一条名为 tcpFlow 的命名扩展 IP 访问列表。 Switch(Config)#ip access-list extended tcpFlow ip access-group 命令:ip access-group in|out no ip access-group in|out 功能:在端口的入口方向上应用一条 access-list;本命令的 no 操作为删除绑定在端口上的 access-list。 参数:为命名访问表的名字,字符串长度为 1-8。 命令模式:物理接口配
24、置模式 缺省情况:没有绑定任何 ACL。 使用指南:一个端口只可以绑定一条入口规则,目前不支持在出口方向应用 Access-list。 举例:将名为 aaa 的访问列表绑定到端口的入口方向上。 Switch(Config-Ethernet1/1)#ip access-group aaa in permit | deny(extended) 命 令 : no deny | permit icmp | any-source | host-source | any-destination | host-destination precedence tos 功能:创建或删除一条匹配特定 IP 协议或所
25、有 IP 协议的命名扩展 IP 访问规则。 参数:为源 IP 地址,格式为点分十进制;为源 IP 的反掩码,格式为点分十进制;为目的 IP 地址,格式为点分十进制; 为目的 IP 的反掩码,格式为点分十进制,关心的位置 0,忽略的位置 1;,igmp 的类型,0255 ;,icmp 的类型,0255;,icmp 的协议编号,0255; ,IP 优先级,07;,tos 值,0-15;,源端口号,0-65535;,目的端口号,0-65535。 命令模式:命名扩展 IP 访问列表配置模式 缺省情况:没有配置任何的访问列表。 举例:创建名为 udpFlow 的扩展访问列表。拒绝 igmp 报文通过,允许目的地址为 192.168.0.1目的端口为 32 的 udp 包通过。 Switch(Config)#ip access-list extended udpFlow Switch(Config-Ext-Nacl-udpFlow)#access-list 110 deny igmp any-source any-destination Switch(Config-Ext-Nacl-udpFlow)#access-list 110 permit udp any-source host-destination 192.168.0.1 dPort 32
