《三层交换机配置ACL》由会员分享,可在线阅读,更多相关《三层交换机配置ACL(4页珍藏版)》请在金锄头文库上搜索。
1、三层交换机配置ACL (访问控制列表)说明:书本上讲述的ACL主要是应用在路由器上,但现在三层交换机在大中型 企业中的应用越来越广泛,三层交换机因拥有路由器的功能而逐渐代替路由器。 ACL访问控制列表是构建安全规范的网络不可缺少的,但在三层交换机上配置 ACL却不为一些刚进企业的初级网络管理维护人员所知。在这里我介绍一下在 三层交换机上配置ACL的试验过程。FsO/eFaTi/1aO/4itchoVI Ml .3Vim 2Vian 5P(2-PTPCIPC-rPTP3PCcPTPC4P-;PT PCSVZLan. 4Ro uteriPC-PTPCiFaO/5试验拓扑介绍:三层交换机上配置本地V
2、ian实现下层接入层交换机不同Vian互通。PC1 192.168.20.10PC2 192.168.30.20PC3 192.168.40.30PC4 192.168.50.40F0/1192.168.70.2路由器上配置F0/0192.168.60.1F0/1192.168.70.1VLAN192.168.20.1VLAN192.168.30.1VLAN192.168.40.1VLAN192.168.50.1(开启路由功能)PC5192.168.60.50试验步骤:1、在二层交换机上把相应的PC加入VLAN 查看交换机SwitchOSwitch0(config)#show run!inte
3、rface FastEthernet0/1switchport access vlan 2!interface FastEthernet0/2switchport access vlan 3!查看交换机 Switch1Switch1#show run!interface FastEthernet0/3switchport access vlan 4!interface FastEthernet0/4switchport access vlan 5!2、在三层交换机上配置相应的本地 VALNSwitch(config)#inter vl 2Switch(config-if)#ip add 192
4、.168.20.1 255.255.255.0Switch(config-if)#no shutSwitch(config)#inter vl 3Switch(config-if)#ip add 192.168.30.1 255.255.255.0Switch(config-if)#no shutSwitch(config)#inter vl 4Switch(config-if)#ip add 192.168.40.1 255.255.255.0Switch(config-if)#no shutSwitch(config)#inter vl 5Switch(config-if)#ip add
5、192.168.50.1 255.255.255.0Switch(config-if)#no shutSwitch(config-if)#exi在接口 itnerface f0/1 上开启路由接口Switch(config)#inter f0/1Switch(config-if)#no switchport3、在二层交换机和三层交换机之间开启中继链路4、在路由器和三层交换机上配置动态路由协议 RIP Router(config)#router ripRouter(config)#network 192.168.60.0Router(config)# network 192.168.70.0 三
6、层交换机上配置Switch(config)#router ripSwitch(config-router)#neSwitch(config-router)#network 192.168.70.0Switch(config-router)#network 192.168.20.0Switch(config-router)#network 192.168.30.0Switch(config-router)#network 192.168.40.0Switch(config-router)#network 192.168.50.0 Switch(config-router)#5、验证各 PC 互通
7、PCping 192.168.30.20Pinging 192.168.30.20 with 32 bytes of data:Request timed out.Reply from 192.168.30.20: bytes=32 time=110ms TTL=126Reply from 192.168.30.20: bytes=32 time=110ms TTL=126Reply from 192.168.30.20: bytes=32 time=125ms TTL=126Ping statistics for 192.168.30.20:Packets: Sent = 4, Receiv
8、ed = 3, Lost = 1 (25% loss),Approximate round trip times in milli-seconds:Minimum = 110ms, Maximum = 125ms, Average = 115msPCping 192.168.40.30Pinging 192.168.40.30 with 32 bytes of data:Reply from 192.168.40.30: bytes=32 time=94ms TTL=126Reply from 192.168.40.30: bytes=32 time=125ms TTL=126Reply fr
9、om 192.168.40.30: bytes=32 time=125ms TTL=126Reply from 192.168.40.30: bytes=32 time=109ms TTL=126Ping statistics for 192.168.40.30:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 94ms, Maximum = 125ms, Average = 113ms6、在三层交换机上配置 ACL注意如果设置不
10、同VALN的PC之间不能互通,则应用的接口应为VLAN对应 的本地 Llan 接口。设置PC1不能ping通PC3和PC4Switch(config)#access-list 10 deny host 192.168.20.10应用于接口Switch(config)#inter vl 4Switch(config-if)#ip access-group 10 outSwitch(config-if)#exiSwitch(config)#inter vl 5Switch(config-if)#ip access-group 10 outSwitch(config-if)#或者是Switch(co
11、nfig)#inter vl 2Switch(config-if)#ip access-group 10 inSwitch(config-if)#(注上:此处ACL应用于接口,从PC1到PC3和PC4,数据流走向是经过三 层交换机上配置的本地Vlan2接口进入,再从三层交换机上配置的本地Vlan4出 去到达PC3,从本地Vlan5出去到达PC4。所以在配置ACL时应注意访问控制 列表应用于哪儿接口?!)7、验证:PC1 不能 ping 通 PC3 和 PC4PCping 192.168.50.40Pinging 192.168.50.40 with 32 bytes of data:Reque
12、st timed out.Request timed out.Ping statistics for 192.168.50.40:Packets: Sent = 3, Received = 0, Lost = 3 (100% loss),Control-CACPCping 192.168.40.30Pinging 192.168.40.30 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out. 容易发生的错误分析:可能在学习的时候只是学习了如何在路由器上配置
13、ACL, 而不知道在三层交换机上也能配置ACL。或许有些同学在三层交换机上各接口 开启路由接口模式,就把三层交换机当作路由器来配置,虽说三层交换机有路由 器的功能,但是一些协议运用起来还是和路由器有差别的。就比如说这个试验在三层交换机的下连接口 fO/5和fO/6上开启路由接口模式, 结果是不配置ACL的前提下,各Vian不通。所以f0/5和f0/6不能开启路由接 口模式。在Vian 2、3、4、5之间配置ACL时,要弄清楚数据流的进、出接口, 在这里Vian2、3、4、5之间的数据流的进、出口就是在三层交换机上配置本地 Vian 接口。其实ACL原理都一样、只要清楚三层交换机上配置ACL和路由器上配置的区别, 在三层交换机上配置ACL就简单易行。
