H3C單向和雙向訪問控制_第1頁
H3C單向和雙向訪問控制_第2頁
H3C單向和雙向訪問控制_第3頁
H3C單向和雙向訪問控制_第4頁
H3C單向和雙向訪問控制_第5頁
已閱讀5頁,還剩6頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

單向和雙向訪問控制單向訪問控制1功能需求及組網(wǎng)說明單向訪問控制『配置環(huán)境參數(shù)』PCA、PCB和PCC通過交換機(jī)SwitchAA互連其中PCA的IP地址為10.1.1.2/24,PCB的IP地址為10.1.1.3/24,PCC的IP地址為10.1.1.4/24『組網(wǎng)需求』PCA、PCB和PCC之間完成單向訪問,即PCA可以訪問PCB、PCC,但是PCB、PCC不能訪問PCA2數(shù)據(jù)配置步驟『?jiǎn)蜗蛟L問控制流程』單向訪問控制主要是針對(duì)有方向的數(shù)據(jù)包,例如ICMP,TCP報(bào)文等,而對(duì)于沒有方向的UDP報(bào)文,交換機(jī)暫時(shí)無法進(jìn)行控制,所以如果要實(shí)現(xiàn)單向訪問控制就簡(jiǎn)單等同于對(duì)ICMP和TCP報(bào)文的控制。如果要對(duì)UDP報(bào)文進(jìn)行控制,必須知道UDP報(bào)文的端口號(hào)。目前也只有E系列交換機(jī)、8016、6506和5516能夠?qū)崿F(xiàn)這種組網(wǎng),以下按產(chǎn)品分別舉例(S8016的配置這里略去)?!?526E配置方法】〖ICMP報(bào)文控制〗PCA與交換機(jī)的e0/1端口相連,配置如下:配置二層訪問控制規(guī)則[SwitchA]aclnumber100配置二層訪問控制子規(guī)則,禁止從任何端口的入報(bào)文出端口到e0/1[SwitchA-acl-link-100]ruledenyicmpsource1.1.1.10destination0icmp-typeecho激活該規(guī)則[SwitchA]packet-filterip-group100〖TCP報(bào)文單向訪問控制〗配置三層訪問控制規(guī)則[SwitchA]aclnumber100主機(jī)ip地址為1.1.1.1的PC無法向1.1.1.2的PC發(fā)起TCP連接建立請(qǐng)求[SwitchA-acl-adv-100]ruledenytcpestablishedsource1.1.1.10destination1.1.1.20激活該規(guī)則[SwitchA]packet-filterip-group100【6506配置方法】〖ICMP報(bào)文控制〗PCA與交換機(jī)的e4/0/1端口相連,配置如下:配置擴(kuò)展訪問控制規(guī)則[SwitchA]aclnumber100配置擴(kuò)展訪問控制子規(guī)則,禁止1.1.1.1Ping通1.1.1.2[SwitchA-acl-adv-100]rule0denyicmpsource1.1.1.10destination0進(jìn)入端口視圖[SwitchA-acl-adv-100]inte4/0/1激活該規(guī)則[SwitchA-Ethernet4/0/1]packet-filterinboundip-group100rule0〖TCP報(bào)文單向訪問控制〗PCA與交換機(jī)的e4/0/1端口相連,配置如下:配置擴(kuò)展訪問控制規(guī)則[SwitchA]aclnumber100主機(jī)ip地址為1.1.1.1的PC可以ping通1.1.1.2的PC,但是不能通過網(wǎng)上鄰居查找到1.1.1.2,反之則可以[SwitchA-acl-adv-100]rule1denytcpestablishedsource1.1.1.10destination1.1.1.20進(jìn)入端口視圖[SwitchA-acl-adv-100]inte4/0/1激活該規(guī)則[SwitchA-Ethernet4/0/1]packet-filterinboundip-group100rule1【5516配置方法】〖ICMP報(bào)文控制〗PCA與交換機(jī)的e0/1端口相連,配置如下:配置二層訪問控制規(guī)則[SwitchA]aclnumber100配置訪問控制子規(guī)則,禁止主機(jī)pcb訪問pca[SwitchA-acl-link-100]ruledenyicmpsource1.1.1.30destination0配置訪問控制子規(guī)則,禁止主機(jī)pcc訪問pca[SwitchA-acl-link-100]ruledenyicmpsource1.1.1.40destination0激活該規(guī)則[SwitchA]packet-filterip-group100〖TCP報(bào)文單向訪問控制〗配置三層訪問控制規(guī)則[SwitchA]aclnumber100主機(jī)ip地址為1.1.1.3的PC可以ping通1.1.1.2的PC,但是不能通過網(wǎng)上鄰居查找到1.1.1.2,反之則可以[SwitchA-acl-adv-100]ruledenytcpsource1.1.1.30destination1.1.1.20destination-porteq139激活該規(guī)則[SwitchA]packet-filterip-group100雙向訪問控制1功能需求及組網(wǎng)說明雙向訪問控制『配置環(huán)境參數(shù)』說明:通過配置三層交換機(jī)的acl來實(shí)現(xiàn)vlan之間的訪問控制『組網(wǎng)需求』需求:組網(wǎng)和vlan分配如圖所示,要求vlan10、20、30均可以訪問server1,但是只有vlan10和vlan20可以訪問server2,同時(shí)vlan10、20、30之間不能互訪。2數(shù)據(jù)配置步驟『交換機(jī)雙向訪問控制流程』如果是低端交換機(jī)同一網(wǎng)段內(nèi)的雙向訪問控制,也可以通過端口的hybrid屬性來實(shí)現(xiàn),具體的內(nèi)容可以參考關(guān)于端口bybrid屬性的配置部分?!?526E配置方法】基礎(chǔ)配置創(chuàng)建(進(jìn)入)vlan10[SwitchA]vlan10創(chuàng)建(進(jìn)入)vlan10的虛接口[SwitchA]interfaceVlan-interface10給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface10]ipaddress10.10.1.1255.255.0.0創(chuàng)建(進(jìn)入)vlan20[SwitchA]vlan20創(chuàng)建(進(jìn)入)vlan20的虛接口[SwitchA]interfaceVlan-interface20給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface20]ipaddress10.20.1.1255.255.0.0創(chuàng)建(進(jìn)入)vlan30[SwitchA]vlan30創(chuàng)建(進(jìn)入)vlan30的虛接口[SwitchA]interfaceVlan-interface30給vlan30的虛接口配置IP地址[SwitchA-Vlan-interface30]ipaddress10.30.1.1255.255.0.0創(chuàng)建(進(jìn)入)vlan100[SwitchA]vlan100創(chuàng)建(進(jìn)入)vlan100的虛接口[SwitchA]interfaceVlan-interface100給vlan100的虛接口配置IP地址[SwitchA-Vlan-interface100]ipaddress10.100.1.1255.255.0.0創(chuàng)建(進(jìn)入)vlan200[SwitchA]vlan200創(chuàng)建(進(jìn)入)vlan200的虛接口[SwitchA]interfaceVlan-interface200給vlan200的虛接口配置IP地址[SwitchA-Vlan-interface200]ipaddress10.200.1.1255.255.0.0訪問控制配置配置ACL[SwitchA]aclnum100配置acl訪問控制列表禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.20.0.0[SwitchA-acl-adv-100]ruledenyipsource10.10.1.10.0.255.255destination10.20.1.10.0.255.255禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.30.0.0[SwitchA-acl-adv-100]ruledenyipsource10.10.1.10.0.255.255destination10.30.1.10.0.255.255禁止網(wǎng)段10.20.0.0訪問網(wǎng)段10.10.0.0[SwitchA-acl-adv-100]ruledenyipsource10.20.1.10.0.255.255destination10.10.1.10.0.255.255禁止網(wǎng)段10.20.0.0訪問網(wǎng)段10.30.0.0[SwitchA-acl-adv-100]ruledenyipsource10.20.1.10.0.255.255destination10.30.1.10.0.255.255禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.10.0.0[SwitchA-acl-adv-100]ruledenyipsource10.30.1.10.0.255.255destination10.10.1.10.0.255.255禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.20.0.0[SwitchA-acl-adv-100]ruledenyipsource10.30.1.10.0.255.255destination10.20.1.10.0.255.255禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.200.0.0[SwitchA-acl-adv-100]ruledenyipsource10.30.1.10.0.255.255destination10.200.1.10.0.255.255下發(fā)訪問控制列表[SwitchA]packet-filterip100【6506配置方法】基礎(chǔ)配置創(chuàng)建(進(jìn)入)vlan10創(chuàng)建(進(jìn)入)vlan10的虛接口[SwitchA]interfaceVlan-interface10給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface10]ipaddress10.10.1.1255.255.0.0創(chuàng)建(進(jìn)入)vlan20[SwitchA]vlan20創(chuàng)建(進(jìn)入)vlan20的虛接口[SwitchA]interfaceVlan-interface20給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface20]ipaddress10.20.1.1255.255.0.0創(chuàng)建(進(jìn)入)vlan30[SwitchA]vlan30創(chuàng)建(進(jìn)入)vlan30的虛接口[SwitchA]interfaceVlan-interface30給vlan30的虛接口配置IP地址[SwitchA-Vlan-interface30]ipaddress10.30.1.1255.255.0.0創(chuàng)建(進(jìn)入)vlan100[SwitchA]vlan100創(chuàng)建(進(jìn)入)vlan100的虛接口[SwitchA]interfaceVlan-interface100給vlan100的虛接口配置IP地址[SwitchA-Vlan-interface100]ipaddress10.100.1.1255.255.0.0創(chuàng)建(進(jìn)入)vlan200創(chuàng)建(進(jìn)入)vlan200的虛接口[SwitchA]interfaceVlan-interface200給vlan200的虛接口配置IP地址[SwitchA-Vlan-interface200]ipaddress10.200.1.1255.255.0.0訪問控制配置配置ACL[SwitchA]aclnum100配置acl訪問控制列表禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.20.0.0[SwitchA-acl-adv-100]rule0denyipsource10.10.1.10.0.255.255destination10.20.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.30.0.0[SwitchA-acl-adv-100]rule1denyipsource10.10.1.10.0.255.255destination10.30.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.20.0.0訪問網(wǎng)段10.10.0.0[SwitchA-acl-adv-100]rule2denyipsource10.20.1.10.0.255.255destination10.10.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.20.0.0訪問網(wǎng)段10.30.0.0[SwitchA-acl-adv-100]rule3denyipsource10.20.1.10.0.255.255destination10.30.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.10.0.0[SwitchA-acl-adv-100]rule4denyipsource10.30.1.10.0.255.255destination10.10.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.20.0.0[SwitchA-acl-adv-100]rule5denyipsource10.30.1.10.0.255.255destination10.20.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.200.0.0[SwitchA-acl-adv-100]rule6denyipsource10.30.1.10.0.255.255destination10.200.1.10.0.255.255進(jìn)入端口視圖[SwitchA]inte4/0/1下發(fā)訪問控制列表[SwitchA]packet-filterinboundip100not-care-for-interface【5516配置方法】基礎(chǔ)配置創(chuàng)建(進(jìn)入)vlan10[SwitchA]vlan10創(chuàng)建(進(jìn)入)vlan10的虛接口[SwitchA]interfaceVlan-interface10給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface10]ipaddress10.10.1.1255.255.0.0創(chuàng)建(進(jìn)入)vlan20[SwitchA]vlan20創(chuàng)建(進(jìn)入)vlan20的虛接口[SwitchA]interfaceVlan-interface20給vlan20的虛接口配置IP地址[SwitchA-Vlan-interface20]ipaddress10.20.1.1255.255.0.0創(chuàng)建(進(jìn)入)vlan30[SwitchA]vlan30創(chuàng)建(進(jìn)入)vlan30的虛接口[SwitchA]interfaceVlan-interface30給vlan30的虛接口配置IP地址[SwitchA-Vlan-interface30]ipaddress10.30.1.1255.255.0.0創(chuàng)建(進(jìn)入)vlan100[SwitchA]vlan100創(chuàng)建(進(jìn)入)vlan100的虛接口[SwitchA]interfaceVlan-interface100給vlan100的虛接口配置IP地址[SwitchA-Vlan-interface100]ipaddress10.100.1.1255.255.0.0創(chuàng)建(進(jìn)入)vlan200[SwitchA]vlan200創(chuàng)建(進(jìn)入)vlan200的虛接口[SwitchA]interfaceVlan-interface200給vlan200的虛接口配置IP地址[SwitchA-Vlan-interface200]ipaddress10.200.1.1255.255.0.0訪問控制配置配置ACL[SwitchA]aclnum100配置acl訪問控制列表禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.20.0.0[SwitchA-acl-adv-100]ruledenyipsource10.10.1.10.0.255.255destination10.20.1.10.0.255.255配置acl訪問控制列表禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.30.0.0[SwitchA-acl-adv-100]ruledenyipsourc

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論