單向訪問控制_第1頁
單向訪問控制_第2頁
單向訪問控制_第3頁
單向訪問控制_第4頁
單向訪問控制_第5頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

單向訪問控制1功能需求及組網(wǎng)說明單向訪問控制PCA PCB PCC單向訪問控制『配置環(huán)境參數(shù)』PCA、PCB和PCC通過交換機SwitchAA互連其中PCA的IP地址為10.1.1.2/24,PCB的IP地址為10.1.1.3/24,PCC的IP地址為10.1.1.4/24『組網(wǎng)需求』PCA、PCB和PCC之間完成單向訪問,即PCA可以訪問PCB、PCC,但是PCB、PCC不能訪問PCA2數(shù)據(jù)配置步驟『單向訪問控制流程』單向訪問控制主要是針對有方向的數(shù)據(jù)包,例如ICMP,TCP報文等,而對于沒有方向的UDP報文,交換機暫時無法進行控制,所以如果要實現(xiàn)單向訪問控制就簡單等同于對ICMP和TCP報文的控制。如果要對UDP報文進行控制,必須知道UDP報文的端口號。目前也只有E系列交換機、8016、6506和5516能夠?qū)崿F(xiàn)這種組網(wǎng),以下按產(chǎn)品分別舉例(S8016的配置這里略去)?!?526E配置方法】〖ICMP報文控制〗PCA與交換機的e0/1端口相連,配置如下:配置二層訪問控制規(guī)則[SwitchA]aclnumber100配置二層訪問控制子規(guī)則,禁止從任何端口的入報文出端口到e0/1[SwitchA-acl-link-100]ruledenyicmpsource1.1.1.10destination1.1.1.20icmp-typeecho激活該規(guī)則[SwitchA]packet-filterip-group100〖TCP報文單向訪問控制〗配置三層訪問控制規(guī)則[SwitchA]aclnumber100主機ip地址為1.1.1.1的PC無法向1.1.1.2的PC發(fā)起TCP連接建立請求[SwitchA-acl-adv-100]ruledenytcpestablishedsource0destination1.1.1.20激活該規(guī)則[SwitchA]packet-filterip-group1006506配置方法】ICMP報文控制〗PCA與交換機的e4/0/1端口相連,配置如下:配置擴展訪問控制規(guī)則[SwitchA]aclnumber100配置擴展訪問控制子規(guī)則,禁止1.1.1.1Ping通1.1.1.2[SwitchA-acl-adv-100]rule0denyicmpsource1.1.1.10destination1.1.1.20進入端口視圖[SwitchA-acl-adv-100]inte4/0/1激活該規(guī)則[SwitchA-Ethernet4/0/1]packet-filterinboundip-group100rule0TCP報文單向訪問控制〗PCA與交換機的e4/0/1端口相連,配置如下:配置擴展訪問控制規(guī)則[SwitchA]aclnumber100主機ip地址為1.1.1.1的PC可以ping通1.1.1.2的PC,但是不能通過網(wǎng)上鄰居查找到1.1.1.2,反之則可以3.[SwitchA-acl-adv-100]rule1denytcpestablishedsource0destination1.1.1.20進入端口視圖[SwitchA-acl-adv-100]inte4/0/1激活該規(guī)則[SwitchA-Ethernet4/0/1]packet-filterinboundip-group100rule15516配置方法】ICMP報文控制〗PCA與交換機的eO/1端口相連,配置如下:配置二層訪問控制規(guī)則[SwitchA]aclnumber100配置訪問控制子規(guī)則,禁止主機pcb訪問pea[SwitchA-acl-link-100]ruledenyicmpsource1.1.1.30destination1.1.1.20配置訪問控制子規(guī)則,禁止主機pcc訪問pea[SwitchA-acl-link-100]ruledenyicmpsource1.1.1.40destination1.1.1.20激活該規(guī)則[SwitchA]packet-filterip-group100Ktcp報文單向訪問控制〗配置三層訪問控制規(guī)則[SwitchA]aclnumber100主機ip地址為1.1.1.3的PC可以ping通1.1.1.2的PC,但是不能通過網(wǎng)上鄰居查找到1.1.1.2,反之則可以[SwitchA-acl-adv-100]ruledenytcpsource1.1.1.30destination1.1.1.20destination-porteq139激活該規(guī)則[SwitchA]packet-filterip-group100雙向訪問控制1功能需求及組網(wǎng)說明雙向訪問控制『配置環(huán)境參數(shù)』說明:通過配置三層交換機的acl來實現(xiàn)vlan之間的訪問控制『組網(wǎng)需求』需求:組網(wǎng)和vlan分配如圖所示,要求vlan10、20、30均可以訪問server1,但是只有vlan10和vlan20可以訪問server2,同時vlan10、20、30之間不能互訪。2數(shù)據(jù)配置步驟『交換機雙向訪問控制流程』如果是低端交換機同一網(wǎng)段內(nèi)的雙向訪問控制,也可以通過端口的hybrid屬性來實現(xiàn),具體的內(nèi)容可以參考關于端口bybrid屬性的配置部分。【3526E配置方法】基礎配置創(chuàng)建(進入)vlan10[SwitchA]vlan10創(chuàng)建(進入)vlan10的虛接口[SwitchA]interfaceVlan-interface10給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface10]ipaddress10.10.1.1255.255.0.0創(chuàng)建(進入)vlan20[SwitchA]vlan20創(chuàng)建(進入)vlan20的虛接口[SwitchA]interfaceVlan-interface20給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface20]ipaddress10.20.1.1255.255.0.0創(chuàng)建(進入)vlan30[SwitchA]vlan30創(chuàng)建(進入)vlan30的虛接口[SwitchA]interfaceVlan-interface30給vlan30的虛接口配置IP地址[SwitchA-Vlan-interface30]ipaddress10.30.1.1255.255.0.0創(chuàng)建(進入)vlan100[SwitchA]vlan100創(chuàng)建(進入)vlan100的虛接口[SwitchA]interfaceVlan-interface100給vlanlOO的虛接口配置IP地址[SwitchA-Vlan-interface100]ipaddress10.100.1.1255.255.O.O創(chuàng)建(進入)vlan2OO[SwitchA]vlan2OO創(chuàng)建(進入)vlan2OO的虛接口[SwitchA]interfaceVlan-interface2OO給vlan200的虛接口配置IP地址[SwitchA-Vlan-interface2OO]ipaddress1O.2OO.1.1255.255.O.O訪問控制配置配置ACL[SwitchA]aclnum1OO配置acl訪問控制列表禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.20.0.0[SwitchA-acl-adv-1OO]ruledenyipsource0.0.255.255destination10.20.1.10.0.255.255禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.30.0.0[SwitchA-acl-adv-100]ruledenyipsource0.0.255.255destination10.30.1.10.0.255.255禁止網(wǎng)段10.20.0.0訪問網(wǎng)段10.10.0.0[SwitchA-acl-adv-100]ruledenyipsource0.0.255.255destination10.10.1.10.0.255.255禁止網(wǎng)段10.20.0.0訪問網(wǎng)段10.30.0.0[SwitchA-acl-adv-100]ruledenyipsource0.0.255.255destination10.30.1.10.0.255.255禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.10.0.0[SwitchA-acl-adv-100]ruledenyipsource0.0.255.255destination10.10.1.10.0.255.255禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.20.0.0[SwitchA-acl-adv-100]ruledenyipsource0.0.255.255destination10.20.1.10.0.255.255禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.200.0.0[SwitchA-acl-adv-100]ruledenyipsource0.0.255.255destination10.200.1.10.0.255.255下發(fā)訪問控制列表[SwitchA]packet-filterip1006506配置方法】基礎配置創(chuàng)建(進入)vlan10[SwitchA]vlan10創(chuàng)建(進入)vlan10的虛接口[SwitchA]interfaceVlan-interface10給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface10]ipaddress10.10.1.1255.255.0.0創(chuàng)建(進入)vlan20[SwitchA]vlan20創(chuàng)建(進入)vlan20的虛接口[SwitchA]interfaceVlan-interface20給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface20]ipaddress10.20.1.1255.255.0.0創(chuàng)建(進入)vlan30[SwitchA]vlan30創(chuàng)建(進入)vlan30的虛接口[SwitchA]interfaceVlan-interface30給vlan30的虛接口配置IP地址[SwitchA-Vlan-interface30]ipaddress10.30.1.1255.255.0.0創(chuàng)建(進入)vlan100[SwitchA]vlan100創(chuàng)建(進入)vlan100的虛接口[SwitchA]interfaceVlan-interface100給vlanlOO的虛接口配置IP地址[SwitchA-Vlan-interface100]ipaddress10.100.1.1255.255.O.O創(chuàng)建(進入)vlan2OO[SwitchA]vlan2OO創(chuàng)建(進入)vlan2OO的虛接口[SwitchA]interfaceVlan-interface2OO給vlan200的虛接口配置IP地址[SwitchA-Vlan-interface2OO]ipaddress1O.2OO.1.1255.255.O.O訪問控制配置配置ACL[SwitchA]aclnum100配置acl訪問控制列表禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.20.0.0[SwitchA-acl-adv-100]rule0denyipsource0.0.255.255destination10.20.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.30.0.0[SwitchA-acl-adv-100]rule1denyipsource0.0.255.255destination10.30.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.20.0.0訪問網(wǎng)段10.10.0.0[SwitchA-acl-adv-100]rule2denyipsource0.0.255.255destination10.10.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.20.0.0訪問網(wǎng)段10.30.0.0[SwitchA-acl-adv-100]rule3denyipsource0.0.255.255destination10.30.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.10.0.0[SwitchA-acl-adv-100]rule4denyipsource0.0.255.255destination10.10.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.20.0.0[SwitchA-acl-adv-100]rule5denyipsource0.0.255.255destination10.20.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.200.0.0[SwitchA-acl-adv-100]rule6denyipsource0.0.255.255destination10.200.1.10.0.255.255進入端口視圖[SwitchA]inte4/0/1下發(fā)訪問控制列表[SwitchA]packet-filterinboundip100not-care-for-interface5516配置方法】基礎配置創(chuàng)建(進入)vlan10[SwitchA]vlan10創(chuàng)建(進入)vlan10的虛接口[SwitchA]interfaceVlan-interface10給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface10]ipaddress10.10.1.1255.255.0.0創(chuàng)建(進入)vlan20[SwitchA]vlan20創(chuàng)建(進入)vlan20的虛接口[SwitchA]interfaceVlan-interface20給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface20]ipaddress10.20.1.1255.255.0.0創(chuàng)建(進入)vlan30[SwitchA]vlan30創(chuàng)建(進入)vlan30的虛接口[SwitchA]interfaceVlan-interface30給vlan30的虛接口配置IP地址[SwitchA-Vlan-interface30]ipaddress10.30.1.1255.255.0.0創(chuàng)建(進入)vlan100[SwitchA]vlan100創(chuàng)建(進入)vlan100的虛接口[SwitchA]interfaceVlan-interface100給vlanlOO的虛接口配置IP地址[SwitchA-Vlan-interface100]ipaddress10.100.1.1255.255.O.O創(chuàng)建(進入)vlan2OO[SwitchA]vlan2OO創(chuàng)建(進入)vlan2OO的虛接口[SwitchA]interfaceVlan-interface2OO給vlan200的虛接口配置IP地址[SwitchA-Vlan-interface2OO]ipaddress1O.2OO.1.1255.255.O.O訪問控制配置配置ACL[SwitchA]aclnum1OO配置acl訪問控制列表禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.20.0.0[SwitchA-acl-adv-1OO]ruledenyipsource0.0.255.255destination10.20.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.10.0

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論