《锐捷网络实训技术培训交流会(南宁200902).ppt》由会员分享,可在线阅读,更多相关《锐捷网络实训技术培训交流会(南宁200902).ppt(117页珍藏版)》请在三一文库上搜索。
1、1,锐捷网络实训技术培训交流会,何为,2009-02-12,2,开始前,交流会期间手机请调整为振动,如有重要电话要接听,请到教室外接听 为了增加交流互动,会议过程中可随时打断提出问题,3,锐捷网络产品技术培训交流会,4,大纲,设备管理 交换技术 路由技术 局域网安全技术,5,大纲,设备管理 网管型交换机、路由器的管理与配置,6,大纲,交换技术 交换机划分VLAN 跨交换机相同VLAN的互通 冗余链路 以太网链路聚合,7,大纲,路由技术 路由原理 直连路由 静态路由 RIP协议 OSPF协议 三层交换机的路由配置 NAT技术,8,大纲,局域网安全技术 交换机端口安全 IP访问控制列表,9,设备管
2、理 管理与配置,10,路由器的管理方式,带外管理 通过带外对路由器进行管理(PC 与路由器直接相连) 带内管理 通过Telnet 对路由器进行远程管理 通过Web 对路由器进行远程管理 通过SNMP 工作站对路由器进行远程管理,11,Console口及配置线缆,RJ45-DB9转换器反转线缆,DB9-RJ45线缆,Console口(RJ45),AUX口(连接拨号网络 ),Console口(RJ45),12,带外管理配置,连线 利用配置线将主机的COM口和路由器或交换机的console口相连 打开超级终端 从开始-程序-附件-通讯-超级终端打开超级终端程序 配置超级终端 为连接命名 选择合适的C
3、OM口 配置正确的参数,13,TELNET管理,在主机DOS命令行下输入: telnet ip address(路由器管理IP),14,TELNET管理续,输入telnet密码和特权密码即可进入到路由器的配置界面,15,基于WEB的管理,在web页面中输入路由器的管理IP可以进入路由器的web管理页面,16,基于WEB的管理,在web页面下对路由器进行管理,17,基于SNMP协议的管理,18,配置命令模式,EXEC模式: 用户模式switch 交换机信息的查看,简单测试命令 特权模式switch# 查看、管理交换机配置信息,测试、调试 配置模式: 全局配置模式switch(config)# 配
4、置交换机的整体参数 接口配置模式switch(config-if)# 配置交换机的接口参数,19,配置命令模式,进入全局配置模式 Switch#configure terminal Switch(config)#exit Switch# 进入接口配置模式 Switch(config)#interface fastethernet 0/1 Switch(config-if)#exit Switch(config)# 从子模式下直接返回特权模式 Switch(config-if)#end Switch#,20,命令行其他功能,获得帮助 switch#? switch#show ? 命令简写 全写:
5、switch# configure terminal 简写:Switch# config 使用历史命令 Switch# (向上键) Switch# (向下键),21,配置Telnet功能,配置远程登陆密码 Switch(config)# line vty 0 4 Switch(config-line)# login Switch(config-line)# password ruijie Switch(config-line)#end 配置进入特权模式密码 Switch (config)#enable secret ruijie 为交换机配置管理IP Switch (config)#inter
6、face vlan 1 Switch (config-if)#no shutdown Switch (config-if)#ip address 192.168.1.1 255.255.255.0 Switch (config-if)#end,22,配置文件的管理,保存配置 将当前运行的参数保存到flash 中用于系统初始化时初始化参数 Switch#copy running-config startup-config Switch#write 删除配置 永久性的删除flash 中不需要的文件 使用命令delete flash:config.text 删除当前的配置: 在配置命令前加no 例:
7、switch(config-if)# no ip address 查看配置文件内容 Switch#show configure 查看保存在FLASH里的配置信息 Switch#show running-config 查看RAM里当前生效的配置,23,交换技术 交换机划分VLAN,24,交换网络中的问题,在交换机组成的校园网络里所有主机都在同一个广播域内,广播域,安全,广播,25,交换网络中的问题,通过VLAN技术可以对网络进行一个安全的隔离、分割广播域,VLAN20,VLAN10,VLAN30,VLAN40,26,VLAN技术,1,2,3,4,交换机,广播帧,广播域,广播帧,广播域,VLAN
8、概述(Virtual Local Area Network) VLAN是划分出来的逻辑网络,是第二层网络。 VLAN端口不受物理位置的限制。 VLAN 隔离广播域。,27,VLAN的种类,基于端口的VLAN 基于mac地址的VLAN 基于协议的VLAN,28,VLAN的类型:802.1Q VLAN,基于交换机的端口(一个端口只属于一个VLAN, Port VLAN设置在连接主机的端口),F0/1,F0/2,F0/3,29,802.1Q VLAN原理,通过查找MAC地址表,交换机对发往不同VLAN的数据不转发,F0/1,F0/2,F0/3,A,B,C,Vlan 10,Vlan 20,Vlan 1
9、0,A B A C,X,30,配置802.1Q VLAN,创建VLAN10,将它命名为test的例子 Switch# configure terminal Switch(config)# vlan 10 Switch(config-vlan)# name test Switch(config-vlan)# end 把接口 0/10加入VLAN10 Switch# configure terminal Switch(config)# interface fastethernet 0/10 Switch(config-if)# switchport mode access Switch(confi
10、g-if)# switchport access vlan 10 Switch(config-if)# end,31,Port VLAN 的配置,将一组接口加入某一个VLAN Switch(config)#interface range fastethernet 0/1-8,0/15,0/20 Switch(config-if-range)# switchport access vlan 20 注:连续接口 0/1-8,不连续接口用逗号隔开,但一定要写明模块编号,32,交换技术 跨交换机相同VLAN的互通,33,Switch B,VLAN30,VLAN20,VLAN10,跨交换机VLAN间通信
11、,A交换机上VLAN10的端口范围中取一个端口,和交换机B上VLAN10范围中的某个端口,作级联连接。 如果交换机上划了10个VLAN,就需要分别连10条线作级联,端口效率就太低了。,34,Switch B,VLAN30,VLAN20,VLAN10,Tag VLAN,跨交换机VLAN之间的通信:Tag VLAN,在交换机之间用一条级联线,并将对应的端口设置为Trunk,这条线路就可以承载交换机上所有VLAN的信息。 Trunk端口传输多个VLAN的信息,实现同一VLAN跨越不同的交换机,35,802.1Q工作原理,802.1Q工作特点: 802.1Q数据帧传输对于用户是完全透明的。 Trunk
12、上默认会转发交换机上存在的所有VLAN的数据。 交换机在从Trunk口转发数据前会在数据打上个Tag标签,在到达另一交换机后,再剥去此标签。,A,交换机1,交换机2,B,数据帧,Tag标签,Trunk,Trunk,36,IEEE802.1Q数据帧,标记协议标识(TPID): 固定值0x8100,表示该帧载有802.1Q标记信息 标记控制信息(TCI): Priority:3比特,表示优先级 Canonical format indicator:1比特,表示总线型以太网、FDDI、令牌环网 VlanID:12比特,表示VID,范围14094,37,配置Tag VLAN-Trunk,把Fa0/1配
13、成Trunk口 Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode trunk 把端口Fa0/20 配置为Trunk端口,但是不包含VLAN 2: Switch(config)# interface fastethernet 0/20 Switch(config-if)# switchport trunk allowed vlan remove 2 Switch(config-if)# end,38,保存/清除VLAN信息,将VLAN信息保
14、存到flash中 Switch#write 从RAM中删除VLAN Switch(config)#no vlan VLAN-id,39,交换技术 冗余链路,40,网络中存在的单点故障,故障,网络中的单点故障可导致网络的无法访问,41,交换网络中的冗余链路,故障,在网络中提供冗余链路解决单点故障问题,42,冗余链路出现的问题环路,冗余链路会造成网络环路,当交换网络中出现环路会产生广播风暴、多帧复制和MAC地址表不稳定等现象。严重影响网络正常运行。,发送一个广播帧,广播风暴,43,多帧复制和MAC地址表不稳定,SwitchA,PC1,F0/3,F0/5,PC1在我 的F0/3口,PC1在我 的F0
15、/5口,去往PC1的帧,去往PC1的帧,44,环路问题的解决,1、主要链路正常时,断开备份链路,2、主要链路出故障时,自动启用备份链路,45,生成树协议,生成树协议概述 生成树协议(spanning-tree protocol)由IEEE 802.1d标准定义 生成树协议的作用是为了提供冗余链路,解决网络环路问题 生成树协议通过SPA(生成树算法)生成一个没有环路的网络,当主要链路出现故障时,能够自动切换到备份链路,保证网络的正常通信,46,生成树协议的配置,开启生成树协议 Switch(config)#Spanning-tree 关闭生成树协议 Switch(config)#no Spann
16、ing-tree,47,生成树协议的配置,配置交换机优先级 Switch(config)#spanning-tree priority (“0”或“4096”的倍数、共16个、缺省32768) 恢复到缺省值 Switch(config)# no spanning-tree priority 配置交换机端口的优先级 Switch(config)#interface interface-type interface-number Switch(config-if)#spanning-tree port-priority number,48,查看生成树协议配置,显示生成树状态 Switch#show
17、 spanning-tree 显示端口生成树协议的状态 Switch#show spanning-tree interface fastethernet ,49,交换技术 以太网链路聚合,50,交换网络问题,交换网络中的问题 对于局域网交换机之间以及从交换机到高需求服务的许多网络连接来说,100M甚至1000M的带宽无法满足用户应用需求。,瓶颈,100M链路,100M/1000M链路,51,链路聚合,定义: 端口聚合(又称为链路聚合),将交换机上的多个端口在物理上连接起来,在逻辑上捆绑在一起,形成一个拥有较大宽带的端口,可以实现负载分担,并提供冗余链路。 IEEE802.3ad定义了以太网端口
18、聚合的标准 注意: 聚合端口合适10M、100M、1000M以太网 锐捷交换机最多支持8个物理端口组成一个聚合端口组 不同设备支持的最多聚合端口组不定 如S2026F支持6组,52,配置aggregate port的注意事项,链路聚合的注意事项 组端口的速度必须一致 组端口必须属于同一个VLAN 组端口使用的传输介质相同 组端口必须属于同一层次,并与AP也要在同一层次,53,配置aggregate port,将该接口加入一个AP Switch#configure terminal Switch(config) # interface interface-type interface-id Sw
19、itch(config-if-range)#port-group port-group-number 如果这个AP不存在,可自动创建AG端口,54,查看端口聚合的配置,查看聚合端口的汇总信息 Switch#show aggregateport summary,55,路由技术 路由原理,56,路由信息,路由信息源,可到达路径,最佳路径,172.16.1.0,10.1.1.0,F1/0,S1/2,57,路由信息,查看路由信息 router#show ip route Codes: C - connected,S static, R RIP, O- OSPF IA - OSPF inter area
20、,E1-OSPF external type 1 E2 - OSPF external type 2,* - candidate default Gateway of last resort is 10.5.5.5 to network 0.0.0.0 172.16.0.0/24 is subnetted, 1 subnets C 172.16.11.0 is directly connected, serial1/2 O E2 172.22.0.0/16 110/20 via 10.3.3.3, 01:03:01, Serial1/2 S* 0.0.0.0/0 1/0 via 10.5.5.
21、5,58,路由信息,O - 路由信息的来源 (OSPF) 172.16.8.0 - 目标网络(或子网) 110 - 管理距离 (路由的可信度) /20 - 度量值 (路由的可到达性) via 172.16.7.9 - 下一跳地址 (下个路由器) 00:00:23 - 路由的存活的时间 (时分秒) Serial 1/2 - 出站接口,O 172.16.8.0/24 110/20 via 172.16.7.9, 00:00:23, Serial 1/2,59,管理距离(可信度),管理距离可以用来选择采用哪个IP路由协议 管理距离值越低,学到的路由越可信 静态配置路由优先于动态协议学到的路由 采用复
22、杂量度的路由协议优先于简单量度的路由协议,Connected interface 0 Static route out an interface 0 Static route to a next hop 1 External BGP 20 OSPF 110 IS-IS 115 RIP v1, v2 120 Internal BGP 200 Unknown 255,路由源,缺省管理距离,60,路由决策原则,最长匹配 例:10.1.1.1/8和10.1.1.1/16 根据路由的管理距离:管理距离越小,路由越优先 例:S 10.1.1.1/8 和 R 10.1.1.1/8 管理距离一样,就比较路由的
23、度量值(metric),越小越优先 例:S 10.1.1.1/8 1/20 和 S 10.1.1.1/8 1/40,61,路由技术 直连路由,62,直连路由,定义 路由器能够自动产生激活端口IP所在网段的直连路由信息 路由器的每个接口都必须单独占用一个网段,192.168.1.1,192.168.2.1,192.168.3.1,F1/0,F1/1,S1/2,192.168.1.5,192.168.3.8,63,路由技术 静态路由,64,静态路由,静态路由概述 静态路由是指由网络管理员手工配置的路由信息 静态路由除了具有简单、高效、可靠的优点外,它的另一个好处是网络安全保密性高 静态路由是手动添
24、加路由信息要去往某网段该如何走,65,静态路由,172.16.2.2,S1/2,172.16.2.1,B,A,B,S1/2,192.168.10.1,202.99.8.1,F1/0,F1/0,192.168.10.5,202.99.8.3,RA C 192.168.10.0 F1/0 C 172.16.2.0 S1/2,RB C 202.99.8.0 F1/0 C 172.16.2.0 S1/2,RA 去往202.99.8.0,?,S 202.99.8.0 S1/2,RB 去往192.168.10.0,?,S 192.168.10.0 S1/2,66,配置静态路由步骤,静态路由的一般配置步骤
25、1.为路由器每个接口配置IP地址 2.确定本路由器有哪些直连网段的路由信息 3.确定网络中有哪些属于本路由器的非直连网段 4.添加本路由器的非直连网段相关的路由信息,67,静态路由配置,静态路由配置命令 配置静态路由用命令ip route router(config)#ip route 网络编号 子网掩码 转发路由器的IP地址/本地接口 例:ip route 192.168.10.0 255.255.255.0 serial 1/2 例:ip route 192.168.10.0 255.255.255.0 172.16.2.1 静态路由描述转发路径的方式有两种 指向本地接口(即从本地某接口发
26、出) 指向下一跳路由器直连接口的IP地址(即将数据包交给X.X.X.X),68,静态路由配置实例,69,默认路由,默认路由概述 0.0.0.0/0可以匹配所有的IP地址,属于最不精确的匹配 默认路由可以看作是静态路由的一种特殊情况 当所有已知路由信息都查不到数据包如何转发时,按缺省路由的信息进行转发 配置默认路由: router(config)#ip route 0.0.0.0 0.0.0.0 转发路由器的IP地址/本地接口,70,缺省路由,routerB(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2,Internet 上 大约99.99%的路由器上都
27、存在一条缺省路由!,71,路由技术 NAT技术,72,什么是NAT/NAPT,概念: NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为 NAT的类型 NAT(Network Address Translation) 转换后,一个本地IP地址对应一个全局IP地址 NAPT (Network Address Port Translation) 转换后,多个本地地址对应一个全局IP地址,73,NAT/NAPT的术语,NAT中用到的接口类型: 内部网络 Inside 外部网络 Outside NAT中常见的术语: 内部本地地址Inside Local Address 内部全局地址In
28、side Global Address 外部本地地址Outside Local Address 外部全局地址Outside Global Address,互联网,Outside,Inside,企业内部网,外部网,74,NAT工作原理,63.5.8.1,192.168.1.5,192.168.1.7,源IP:192.168.1.7,目的IP:63.5.8.1,源IP:200.8.7.3,目的IP:63.5.8.1,源IP:63.5.8.1,目的IP:200.8.7.3,源IP:63.5.8.1,目的IP:192.168.1.7,源IP:200.8.7.3,目的IP:63.5.8.1,源IP:63
29、.5.8.1,目的IP:192.168.1.7,75,NAPT工作原理,63.5.8.1,192.168.1.5,192.168.1.7,源IP:192.168.1.7:1024,目的IP:63.5.8.1:80,源IP:200.8.7.3:1024,目的IP:63.5.8.1:80,源IP:63.5.8.1:80,目的IP:200.8.7.3:1024,源IP:63.5.8.1 :80,目的IP:192.168.1.7:1024,Web服务,源IP:200.8.7.3:1024,目的IP:63.5.8.1:80,源IP:63.5.8.1 :80,目的IP:192.168.1.7:1024,7
30、6,使用NAPT的情况,在以下几种情况下,需要使用NAPT技术: 缺乏全局IP地址,甚至没有专门申请的全局IP地址,只有一个连接ISP的全局IP地址 内部网要求上网的主机数很多 提高内网的安全性,77,NAT/NAPT的配置,NAT/NAPT的配置有两种 静态NAT/NAPT 动态NAT/NAPT 静态NAT/NAPT 永久的一对一IP地址映射关系 动态NAT/NAPT 只访问外网服务,不提供信息服务的主机 内部主机数可以大于全局IP地址数 最多访问外网主机数决定于全局IP地址数 临时的一对一IP地址映射关系,78,静态NAT,配置步骤 1、定义内网接口和外网接口 Router(config)
31、#interface fastethernet 1/0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 1/1 Router(config-if)#ip nat inside 2、建立静态的映射关系 Router(config)#ip nat inside source static 192.168.1.7 200.8.7.3,79,静态NAPT,1、定义内网接口和外网接口 Router(config)#interface fastethernet 0 Router(config-if)#ip nat
32、 outside Router(config)#interface fastethernet 1 Router(config-if)#ip nat inside 2、建立静态的映射关系 Router(config)#ip nat inside source static tcp 192.168.1.7 1024 200.8.7.3 1024 Router(config)#ip nat inside source static udp 192.168.1.7 1024 200.8.7.3 1024,80,动态NAT配置,1、定义内网接口和外网接口 Router(config-if)#ip nat
33、 outside Router(config-if)#ip nat inside 2、定义内部本地地址范围 Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 3、定义内部全局地址池 Router(config)#ip nat pool abc 200.8.7.3 200.8.7.10 netmask 255.255.255.0 4、建立映射关系 Router(config)#ip nat inside source list 10 pool abc,81,动态NAPT配置,1、定义内网接口和外网接口 Router(config
34、-if)#ip nat outside Router(config-if)#ip nat inside 2、定义内部本地地址范围 Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 3、定义内部全局地址池 Router(config)#ip nat pool abc 200.8.7.3 200.8.7.3 netmask 255.255.255.0 4、建立映射关系 Router(config)#ip nat inside source list 10 pool abc overload,82,NAT/NAPT的监视和维护命令,
35、显示命令 show ip nat statistics 显示翻译统计 show ip nat translations verbose 显示活动翻译 清除状态命令 clear ip nat translation * 从NAT转换表中清除所有动态地址转换项,83,NAT/NAPT带来的限制,限制 影响网络性能 不能处理IP报头加密的报文; 无法实现端到端的路径跟踪(traceroute) 某些应用可能支持不了:内嵌IP地址 内嵌IP地址的应用有: FTP DNS NetMeeting H.323,VoIP 其它自编应用 NAT与应用的兼容性问题,详见RFC 3027,84,局域网安全技术 交换
36、机端口安全,85,交换机端口安全,利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、网络设备造成的破坏,如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定,86,交换机端口安全,安全违例产生于以下情况: 如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数 如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时,你可以选择多种方式来处理违例: Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包 Restrict:当违例
37、产生时,将发送一个Trap通知 Shutdown:当违例产生时,将关闭端口并发送一个Trap通知,87,配置安全端口,端口安全最大连接数配置 switchport port-security !打开该接口的端口安全功能 switchport port-security maximum value !设置接口上安全地址的最大个数,范围是1128,缺省值为128 switchport port-security violationprotect|restrict |shutdown !设置处理违例的方式 注意: 1、端口安全功能只能在access端口上进行配置。 2、当端口因为违例而被关闭后,在全
38、局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。,88,配置安全端口,端口的安全地址绑定 switchport port-security !打开该接口的端口安全功能 switchport port-security mac-address mac-address ip-address ip-address !手工配置接口上的安全地址 注意: 1、端口安全功能只能在access端口上进行配置 2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP,89,案例(一),下面的例子是配置接口gigabitethernet1/3上的端口安全功能,设置最大
39、地址个数为8,设置违例方式为protect Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Swi
40、tch(config-if)# end,90,案例(二),下面的例子是配置接口fastethernet0/3上的端口安全功能,配置端口绑定地址,主机MAC为00d0.f800.073c,IP为192.168.12.202 Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport por
41、t-security mac-address 00d0.f800.073c ip-address 192.168.12.202 Switch(config-if)# end,91,查看配置信息,查看所有接口的安全统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等 Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action - - - - Gi1/3 8 1 Protect 查看安全地址信息 Switch# show port-security address Vlan Mac Add
42、ress IP Address Type Port Remaining Age(mins) - - - - - - 1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1,92,局域网安全技术 IP访问控制列表,93,什么是访问列表,IP Access-list:IP访问列表或访问控制列表,简称IP ACL ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤,ISP,94,为什么要使用访问列表,内网安全运行,访问外网的安全控制,95,访问列表,访问控制列表的作用: 内网布署安全策略,保证内网安全权限的资源访问 内网访问外网时,进行安
43、全的数据过滤 防止常见病毒、木马、攻击对用户的破坏,96,访问列表的组成,定义访问列表的步骤 第一步,定义规则(哪些数据允许通过,哪些数据不允许通过) 第二步,将规则应用在路由器(或交换机)的接口上 访问控制列表规则的分类: 1、标准访问控制列表 2、扩展访问控制列表,97,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用(in) 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用(out) 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表,F1/0,F1/1,IN,OUT,98,IP ACL的基本准则,一切未被允许的
44、就是禁止的 定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 规则匹配原则 从头到尾,至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝”,99,访问列表规则的定义,标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,100,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP标准访问列表,101,目的地址,源地址,协议,端口号,IP扩展访问列表,TCP/UDP,数据,IP,eg.HDLC,
45、100-199 号列表,102,0表示检查相应的地址比特 1表示不检查相应的地址比特,128,64,32,16,8,4,2,1,0,0,0,0,0,0,0,0,反掩码(通配符),103,IP标准访问列表的配置,1.定义标准ACL 编号的标准访问列表 Router(config)#access-list permit|deny 源地址 反掩码 命名的标准访问列表 switch(config)# ip access-list standard switch(config-std-nacl)#permit|deny 源地址 反掩码 2.应用ACL到接口 Router(config-if)#ip ac
46、cess-group in | out ,104,172.16.3.0,172.16.4.0,F1/0,S1/2,F1/1,172.17.0.0,IP标准访问列表配置实例(一),配置: access-list 1 permit 172.16.3.0 0.0.0.255 (access-list 1 deny any) interface serial 1/2 ip access-group 1 out,105,标准访问列表配置实例(二),需求: 你是某校园网管,领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机,但教师机不可以访问。 配置: ip access-list standa
47、rd abc permit host 192.168.2.8 deny 192.168.2.0 0.0.0.255,106,IP扩展访问列表的配置,1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACL ip access-list extended name permit /deny 协议 源地址 反掩码源端口 目的地址 反掩码 目的端口 2.应用ACL到接口 Router(config-if)#ip access-group in | out ,107,IP扩展访问列表配置实例(一),如何创建一条扩展ACL 该ACL有一条ACE,用于允许指定网络(192.168.xx)的所有主机以HTTP访问服务器172.168.12.3,但拒绝其它所有主机使用网络 Router (config)# access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router # show access-lists 103,108,access-list 115 deny udp
链接地址:https://www.31doc.com/p-2833597.html