计算机网络 实验指导 实验8

三层交换机的访问控制

1.实验拓扑图:

名称 接口 IP地址 网关
Switch A F0/1 192.168.1.1/24
F0/2 172.1.1.1/24
Switch B F0/1 192.168.1.2/24
F0/2 172.2.2.1/24
PC1 172.1.1.2/24 172.1.1.1
PC2 172.1.1.3/24 172.1.1.1
PC3 172.2.2.2/24 172.2.2.1
PC4 172.2.2.3/24 172.2.2.1

2.实验目的

(1)ACL(标准访问控制列表) 能正常工作的前提是所有主机都能ping通

(2)设置三层交换机的IP地址及配置路由信息协议(RIP)路由(RIP配置在实验12中)

(3)根据以上拓扑分出两个网段,要求禁止主机PC4访问172.1.1.0网段。该如何实现?

3.实验步骤

(1)配置接口ip地址

在配置交换机接口前,我们要知道:no switchport 的作用

当我使用 "no switchport" 命令时,你实际上是在告诉设备不要将该接口视为交换机端口,而是将其视为路由器端口。这意味着该接口将不再执行学习和转发数据帧的功能,而是可以配置成路由器接口,进行路由功能,比如配置IP地址,进行路由协议等。就是相当于我们使用三层交换机来替代了路由器,从而能对接口进行配置

如果没加no switchport 则配置会失败

Switch A设置交换机接口IP地址

Switch B设置交换机接口IP地址跟上面一样的步骤

(2)配置RIP路由(现在不用知道,后面有专门介绍RIP的实验)

在设置时先要打开三层交换机的路由模式(IP routing),不然会报错

SwitchA:

SwitchB同上

我们可以使用show ip route检查是否成功,如下即是成功了,R的位置不固定

(3)检验是否ping通

(4)设置ACL

ACL 是 Access Control List(访问控制列表)的缩写,它是用于控制网络设备上流量流动的一种策略配置。ACL 可以应用于路由器、交换机、防火墙等网络设备上,以限制或允许特定类型的流量通过设备。ACL通常基于源 IP 地址、目标 IP 地址、协议类型、端口号等条件进行匹配,并根据匹配结果执行允许或拒绝操作。

ACL 可以分为两种类型:

1. **标准 ACL(Standard ACL)**:基于源 IP 地址进行匹配的 ACL。标准 ACL通常用于简单的访问控制,例如允许或拒绝来自特定 IP 地址范围的流量。

2. **扩展 ACL(Extended ACL)**:除了源 IP 地址外,还可以基于目标 IP 地址、协议类型、端口号等多种条件进行匹配的 ACL。扩展 ACL 更加灵活,可以实现更精细的流量控制。

ACL 可以应用于接口的入向或出向方向,控制流入或流出该接口的流量。通过合理配置 ACL,可以提高网络安全性,并优化网络性能。

ACL:要求禁止PC4访问172.1.1.0/24网段

对Switch A 进行ACL配置:

  • access-list 100: 这表示创建一个编号为 100 的 ACL 条目。ACL 可以有不同的编号,并且可以应用到不同的接口上。
  • deny: 这表示拒绝匹配到的流量。
  • ip: 这指定了 ACL 匹配的协议为 IP。
  • 172.2.2.3 0.0.0.0: 这是源地址,表示拒绝来自 IP 地址 172.2.2.3 的任何流量。这里的 0.0.0.0 是通配符,表示匹配该位置的所有位。
  • 172.1.1.0 0.0.0.255: 这是目标地址,表示拒绝发送到 IP 地址范围为 172.1.1.0 到 172.1.1.255 的任何流量。同样,这里的 0.0.0.255 是通配符,表示匹配该位置的所有位。
  • permit: 这表示允许匹配到的流量通过。
  • ip: 这指定了ACL匹配的协议为IP。
  • ip access-group 100: 这表示将 ACL 编号为 100 的 ACL 应用到接口上。
  • out: 这表示 ACL 将应用到接口的出向流量。也就是说,ACL 将会过滤从该接口发送出去的流量。

(5)测试

用主机PC4去Ping 172.1.1.0/24网段,发现其他主机可以ping通pc4不能ping通的主机,大家自己PING一下

(6)删除ACL

上一篇:C++零基础入门


下一篇:FJSP:霸王龙优化算法(Tyrannosaurus optimization,TROA)求解柔性作业车间调度问题(FJSP),提供MATLAB代码