【實驗名稱】
命名的擴展IP訪問列表
【實驗目的】
掌握在交換機上命名的擴展IP訪問列表規則及配置
【實驗功能】
實現網段間互相訪問的安全控制
【實驗設備】
三層交換機(1臺)、PC(3臺)、直連線(3條)
【實驗拓撲】
利用IP擴展訪問列表實現應用服務的訪問限制
我們這裏就把 限制學生機訪問服務器的WWW服務爲例 來配置! (其餘都大同小異)
Switch(config)#ip access-list extended cisco (設置擴展列表並命名爲 cisco)
Switch(config-ext-nacl)#deny tcp 172.16.5.0 0.0.0.255 172.16.15.0 0.0.0.255 eq www
(拒絕172.16.5.0 這個網段 訪問172.16.15.0 這個網段的WWW服務(可以寫HTTP或則80)。注意用反掩碼)
Switch(config-ext-nacl)#permit ip any any (deny(拒絕)了某個網段後要peimit其他網段)
Switch(config-ext-nacl)#exit
Switch(config)#interface vlan 5
Switch(config-if)#ip access-group cisco in (把cisco擴展列表應用到vlan5口的in方向)
接下來我們探討下 爲什麼要放在vlan 5接口!
這個拓撲圖反映不出來! 我們試想一下 如果在VLAN5 和這個配置命名擴展列表的交換機中間放置N個交換機
VLAN5 要訪問VLAN15的WWW服務!然後VLAN5裏的PC發送數據包,途中經過了N個交換機之後到達這個配置命名擴展列表的交換機,然後這個交換機查找擴展列表 發現阻止了!然後把數據包丟掉 這樣是不是浪費了帶寬呢?
所以我們把擴展訪問控制列表做在被限制的網段 最近的那個端口! 此圖中最近的就是vlan 5接口!
大家仔細琢磨一下!
原創:胡斌
我會從簡單到難的發表一些我學過的知識,希望能給一些想入門的朋友幫助,也希望找一些志同道合的朋友、老師 給我些指教。 QQ 276200261!