三层交换机的访问控制
1.实验拓扑图:
名称 | 接口 | IP地址 | 网关 |
Switch A | F0/1 | 192.168.1.1/24 | |
F0/2 | 172.1.1.1/24 | ||
Switch B | F0/1 | 192.168.1.2/24 | |
F0/2 | 172.2.2.1/24 | ||
PC1 | 172.1.1.2/24 | 172.1.1.1 | |
PC2 | 172.1.1.3/24 | 172.1.1.1 | |
PC3 | 172.2.2.2/24 | 172.2.2.1 | |
PC4 | 172.2.2.3/24 | 172.2.2.1 |
2.实验目的
(1)ACL(标准访问控制列表) 能正常工作的前提是所有主机都能ping通
(2)设置三层交换机的IP地址及配置路由信息协议(RIP)路由(RIP配置在实验12中)
(3)根据以上拓扑分出两个网段,要求禁止主机PC4访问172.1.1.0网段。该如何实现?
3.实验步骤
(1)配置接口ip地址
在配置交换机接口前,我们要知道:no switchport 的作用
当我使用 "no switchport" 命令时,你实际上是在告诉设备不要将该接口视为交换机端口,而是将其视为路由器端口。这意味着该接口将不再执行学习和转发数据帧的功能,而是可以配置成路由器接口,进行路由功能,比如配置IP地址,进行路由协议等。就是相当于我们使用三层交换机来替代了路由器,从而能对接口进行配置
如果没加no switchport 则配置会失败
Switch A设置交换机接口IP地址
Switch B设置交换机接口IP地址跟上面一样的步骤
(2)配置RIP路由(现在不用知道,后面有专门介绍RIP的实验)
在设置时先要打开三层交换机的路由模式(IP routing),不然会报错
SwitchA:
SwitchB同上
我们可以使用show ip route检查是否成功,如下即是成功了,R的位置不固定
(3)检验是否ping通
(4)设置ACL
ACL 是 Access Control List(访问控制列表)的缩写,它是用于控制网络设备上流量流动的一种策略配置。ACL 可以应用于路由器、交换机、防火墙等网络设备上,以限制或允许特定类型的流量通过设备。ACL通常基于源 IP 地址、目标 IP 地址、协议类型、端口号等条件进行匹配,并根据匹配结果执行允许或拒绝操作。
ACL 可以分为两种类型:
1. **标准 ACL(Standard ACL)**:基于源 IP 地址进行匹配的 ACL。标准 ACL通常用于简单的访问控制,例如允许或拒绝来自特定 IP 地址范围的流量。
2. **扩展 ACL(Extended ACL)**:除了源 IP 地址外,还可以基于目标 IP 地址、协议类型、端口号等多种条件进行匹配的 ACL。扩展 ACL 更加灵活,可以实现更精细的流量控制。
ACL 可以应用于接口的入向或出向方向,控制流入或流出该接口的流量。通过合理配置 ACL,可以提高网络安全性,并优化网络性能。
ACL:要求禁止PC4访问172.1.1.0/24网段
对Switch A 进行ACL配置:
-
access-list 100
: 这表示创建一个编号为 100 的 ACL 条目。ACL 可以有不同的编号,并且可以应用到不同的接口上。 -
deny
: 这表示拒绝匹配到的流量。 -
ip
: 这指定了 ACL 匹配的协议为 IP。 -
172.2.2.3 0.0.0.0
: 这是源地址,表示拒绝来自 IP 地址 172.2.2.3 的任何流量。这里的0.0.0.0
是通配符,表示匹配该位置的所有位。 -
172.1.1.0 0.0.0.255
: 这是目标地址,表示拒绝发送到 IP 地址范围为 172.1.1.0 到 172.1.1.255 的任何流量。同样,这里的0.0.0.255
是通配符,表示匹配该位置的所有位。
-
permit
: 这表示允许匹配到的流量通过。 -
ip
: 这指定了ACL匹配的协议为IP。
-
ip access-group 100
: 这表示将 ACL 编号为 100 的 ACL 应用到接口上。 -
out
: 这表示 ACL 将应用到接口的出向流量。也就是说,ACL 将会过滤从该接口发送出去的流量。
(5)测试
用主机PC4去Ping 172.1.1.0/24网段,发现其他主机可以ping通pc4不能ping通的主机,大家自己PING一下