在三層交換機上配置ACL

原創 SyT007 2020-04-12 12:58
3750配置:
 
3750#conf t
3750(config)#int f0/15
3750(config-if)#switchport mode trunk
3750(config)#end
3750#vlan database
3750(vlan)#vtp server
3750(vlan)#vtp domain sy
3750(vlan)#vtp password cisco
3750(vlan)#vlan 10
3750(vlan)#vlan 20
3750(vlan)#vlan 30
3750(vlan)#vlan 40
3750(vlan)#vlan 100
3750(vlan)#exit
3750(config)#ip routing
3750(config)#int vlan 10
3750(config-if)#ip address 192.168.10.1 255.255.255.0
3750(config-if)#no shutdown
3750(config-if)#exit
3750(config)#int vlan 20
3750(config-if)#ip address 192.168.20.1 255.255.255.0
3750(config-if)#no shutdown
3750(config-if)#exit
3750(config)#int vlan 30      
3750(config-if)#ip address 192.168.30.1 255.255.255.0
3750(config-if)#no shutdown
3750(config-if)#exit
3750(config)#int vlan 40
3750(config-if)#ip address 192.168.40.1 255.255.255.0
3750(config-if)#no shutdown
3750(config-if)#exit
3750(config)#int vlan 100
3750(config-if)#ip address 192.168.100.1 255.255.255.0
3750(config-if)#no shutdown
3750(config-if)#exit
3750(config)#end
3750(config)#int f0/1
3750(config-if)#switchport access vlan 100
3750(config-if)#end

配置ACL
3750#conf t
3750(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255    
3750(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255    
3750(config)#access-list 100 permit ip any any
3750(config)#access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255    
3750(config)#access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255    
3750(config)#access-list 101 permit ip any any
3750(config)#access-list 102 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255    
3750(config)#access-list 102 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255    
3750(config)#access-list 102 permit ip any any
3750(config)#ip access-list extended infilter       //在入方向放置reflect//
3750(config-ext-nacl)#permit ip any any reflect ccna      
3750(config-ext-nacl)#exit    
3750(config)#ip access-list extended outfilter    //在出方向放置evaluate//
3750(config-ext-nacl)#evaluate ccna
3750(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 any
3750(config-ext-nacl)#deny ip 192.168.20.0 0.0.0.255 any
3750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 any
3750(config-ext-nacl)#permit ip any any
3750(config-ext-nacl)#exit
3750(config)#int vlan 40                                   //應用到管理接口//
3750(config-if)#ip access-group infilter in
3750(config-if)#ip access-group outfilter out
3750(config-if)#exit
3750(config)#int vlan 10
3750(config-if)#ip access-group 100 in
3750(config-if)#exit
3750(config)#int vlan 20
3750(config-if)#ip access-group 101 in
3750(config-if)#exit
3750(config)#int vlan 30
3750(config-if)#ip access-group 102 in
3750(config-if)#end
 
2960配置:
2960#conf t
2960(config)#int f0/15
2960(config-if)#switchport mode trunk
2960(config-if)#switchport trunk encapsulation dot1q
2960(config-if)#end
2960#vlan database
2960(vlan)#vtp client
2960(vlan)#vtp domain sy
2960(vlan)#vtp password cisco
2960(vlan)#exit
 
2960#show vtp status
VTP Version                     : 2
Configuration Revision          : 2
Maximum VLANs supported locally : 256
Number of existing VLANs        : 10
VTP Operating Mode              : Client
VTP Domain Name                 : sy
VTP Pruning Mode                : Enabled
VTP V2 Mode                     : Disabled
VTP Traps Generation            : Disabled
MD5 digest                      : 0x4D 0xA8 0xC9 0x00 0xDC 0x58 0x2F 0xDD
Configuration last modified by 0.0.0.0 at 3-1-02 00:13:34

 
2960#show vlan-sw brief
 
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/0, Fa0/1, Fa0/2, Fa0/3
                                                Fa0/4, Fa0/5, Fa0/6, Fa0/7
                                                Fa0/8, Fa0/9, Fa0/10, Fa0/11
                                                Fa0/12, Fa0/13, Fa0/14
10   VLAN0010                         active   
20   VLAN0020                         active   
30   VLAN0030                         active   
40   VLAN0040                         active   
100  VLAN0100                         active   
1002 fddi-default                     active   
1003 token-ring-default               active   
1004 fddinet-default                  active   
1005 trnet-default                    active
 
2960#conf t
2960(config)#int f0/1
2960(config-if)#switchport access vlan 10
2960(config-if)#int f0/2
2960(config-if)#switchport access vlan 20
2960(config-if)#int f0/3
2960(config-if)#switchport access vlan 30
2960(config-if)#int f0/4
2960(config-if)#switchport access vlan 40
2960(config-if)#end

客戶機驗證:

PC1:
PC1#ping 192.168.20.20
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.20, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
PC1#ping 192.168.30.30
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.30, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
PC1#ping 192.168.40.40
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.40.40, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
PC1#ping 192.168.100.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 104/268/336 ms
 
PC2:
PC2#ping 192.168.10.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
PC2#ping 192.168.30.30
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.30, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
PC2#ping 192.168.40.40
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.40.40, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
PC2#ping 192.168.100.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/170/336 ms
 
PC3:
PC3#ping 192.168.10.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 2 seconds:
.U.U.
Success rate is 0 percent (0/5)
PC3#ping 192.168.20.20
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.20, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
PC3#ping 192.168.40.40
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.40.40, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
PC3#ping 192.168.100.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 144/218/416 ms
 
PC4:
PC4#ping 192.168.10.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 240/331/508 ms
PC4#ping 192.168.20.20
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.20, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 220/288/356 ms
PC4#ping 192.168.30.30
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.30, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 144/207/268 ms
PC4#ping 192.168.100.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 96/219/440 ms
 
PC5:
PC5#ping 192.168.10.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 92/194/284 ms
PC5#ping 192.168.20.20
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.20, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 144/209/336 ms
PC5#ping 192.168.30.30
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.30, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 64/184/372 ms
PC5#ping 192.168.40.40
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.40.40, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 192/239/308 ms
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

一文搞懂什麼是 vlan、三層交換機、網關、DNS、子網掩碼、MAC地址

一、什麼是VLAN VLAN中文是“虛擬局域網”。LAN可以是由少數幾臺家用計算機構成的網絡,也可以是數以百計的計算機構成的企業網絡。VLAN所指的LAN特指使用路由器分割的網絡——也就是廣播域。 聽上面的概念,肯定有不少朋友是一頭霧水的

一直孤独的程序猿 2020-07-08 11:39:18

三層交換機的“三層”是什麼意思?

關注我們的朋友應該知道,之前我們簡單分析過二層工業交換機和三層工業交換機的區別。但是近期有客戶向我們諮詢,工業交換機中的三層是指什麼意思?是指工業交換機中有三層“東西”嗎?就這個問題我們一起來了解一下! 什麼是三層工業交換機?

qq_38461773 2020-07-07 22:42:54

網絡空間安全基礎 第5天

DHCP部署與安全 DHCP的作用 Dynamic Host Configure Protocol 自動分配IP地址 DHCP相關概念 地址池/作用域:(地址池裏包含:IP,子網掩碼,網關,DNS,租期),將所有地址放到地址池裏。

EEEEEEcho 2020-07-07 21:21:53

Cisco Packet Tracer利用三層交換機實現VLAN間路由

文章目錄1, 原理圖繪製2, 配置二層交換機3, 三層交換機的配置4, 結果驗證 之前做了一個關於二層交換機的模擬,可以參考 https://blog.csdn.net/weixin_46027505/article/detail

blazer小星星 2020-07-07 20:27:06

Cisco Packet Tracer交換機劃分VLAN

文章目錄1.1, 單交換機構建一個VLAN1.2, 單交換機劃分兩個VLAN1.3, 使用兩個交換機進行VLAN劃分 1.1, 單交換機構建一個VLAN 我們使用一個交換機將兩臺PC劃分在一個VLAN中,這裏不需要配置交換機。

blazer小星星 2020-07-07 20:27:06

三層交換機基礎配置

三層交換機基礎配置 案例3:三層交換配置路由 3.1 問題 如何使用三層交換機實現全網互通? 配置思路: 1.終端設備PC設置 2.交換機配置 -建立vlan 10 20 30 40 -與pc連接接口設置acc模式 加入對應vlan -與

qq_38461341 2020-07-07 06:52:35

職場上,不知道這些,活該工資比人低一倍

在職場上,我們會遇到很多煩惱:要去大城市嗎?去大公司還是小公司?遇到職場上的迷茫期應該怎麼辦......今天職場邦小編分享心得給大家! 但很多時候,這些煩惱產生的原因只是因爲你“想得太多,做得太少”。 我們抱着“守株待兔”的心情

dengjigong 2020-07-07 22:41:25

你介意別人修改你的代碼嗎?

         自己的代碼被別人改動這事,應該不少人遇到過,作爲當事人之一,你介意嗎?          我也遇到過,甚至在改動前基於修改人本身的一些情況,我會變得謹慎起來,甚至有些牴觸。理由很簡單:一個能力比你差得人要改你的代碼,你不

三笑咖啡 2020-07-07 19:53:26

項目經理只能考PMP嗎?最全的證書信息分享給你們

項目管理是一門深奧的學科,不僅僅是簡單的計劃、安排。想要學好這門課,需要考取一些證書。 那這一期我們來介紹一下值得和未來需要考取的證書,來幫助我們成爲更好的項目經理。 0 1 PMP證書 推薦指數:五顆星 簡要介紹:PMP是由美國項目管

逸尘谈PM 2020-07-07 15:46:30

讓我思潮翻滾的IBM面試內容

今天剛從北校筆試完IBM回來,感覺一般般,回來後上網隨便看看別人的面試經歷。其實也不是覺得自己可以進面試,從筆試過程感覺進面試機會不大,只是出於好奇,想了解一下別人是如何面試IBM的,IBM到底需要什麼樣的人才,或許對以後的職業發展有所幫

huagong_adu 2020-07-07 14:51:24

假話全不說,真話不全說---------《程序員筆試面試寶典》

1.萬事趁早 我大概是研究生三年級新學期開學後開始準備找工作的,從後來的情況來看,我已經準備晚了,因爲校招時間提前了半個多月。這也給了我一個教訓:萬事趁早,因爲我們不能預知公司什麼時候來招聘,只能自己提前做準備。準備太晚的結果就是9月中下

love-xiao-forever 2020-07-07 06:38:44

學會這些,不做委屈的項目經理

背景 ”如果你喜歡一個人,你就讓他去當項目經理,因爲項目會使他有業績;如果你恨一個人,你就讓他去當項目經理,因爲十有八九他會被失敗的項目毀了“ 這麼一聽,項目經理貌似是一個很危險的工作。 其實也是的,沒有哪個項目經理是不委屈的。 小李同樣

逸尘谈PM 2020-07-07 01:06:24

什麼纔是真正的項目團隊,我來告訴你需要做哪些

項目團隊是由項目所在單位委託項目經理牽頭組建的。並不是在一起工作的一羣人,就能自動形成團隊的,也不是由領導下令組建的團隊就自然能成爲真正的團隊的。 一羣人要形成團隊,固然需要有形的組織結構與明確規定的合作關係,也需要一些無形的軟要素。沒有

逸尘谈PM 2020-07-07 01:06:14

公司爲招大廠程序員,把老員工辭掉,一個月後公司炸了

職場中,是非常現實與殘酷,優勝劣汰是職場規則,只要是人才到哪裏都有人需要,尤其是作爲公司來說,一切都以公司利益爲重,不管員工之前爲公司付出多少,在公司面對危機的時候,該辭退的時候還是會被辭退,這個也不能怪公司,換做是誰都是一樣的結

全栈工程师老黄 2020-07-07 00:41:35

互聯網現實生活:在大公司做程序員 vs 在小公司做程序員

一直以來,我們都在給大家展示互聯網大廠的工作和生活。但其實,互聯網行業不只有巨頭、獨角獸,更有無數小廠、創業公司。 在小公司工作,又有另一番體驗。舉個例子,同樣是做程序員,在大廠和小廠的區別,可能像跨行一樣大… 推廣寬帶入戶,

全栈工程师老黄 2020-07-07 00:41:35