H3C單向和雙向訪問控制_第1頁
H3C單向和雙向訪問控制_第2頁
H3C單向和雙向訪問控制_第3頁
H3C單向和雙向訪問控制_第4頁
H3C單向和雙向訪問控制_第5頁
已閱讀5頁,還剩9頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、單向和雙向訪問控制I. 單向訪問控制1功能需求及組網(wǎng)說明單向訪問控制配置環(huán)境參數(shù)PCA PCB和PCCS過交換機SwitchAA互連其中 PCA的 IP 地址為 10.1.1.2/24,PCB 的 IP 地址為 10.1.1.3/24 ,PCC的 IP 地址為 10.1.1.4/24組網(wǎng)需求PCA PCB和PCC之間完成單向訪問,即 PCA可以訪問PCB PCC但是PCB PCC不能訪問PCA2數(shù)據(jù)配置步驟單向訪問控制流程單向訪問控制主要是針對有方向的數(shù)據(jù)包, 例如ICMF,TCP報文等,而對于沒有 方向的UDP報文,交換機暫時無法進行控制,所以如果要實現(xiàn)單向訪 問控制就 簡單等同于對ICMP

2、和TCP報文的控制。如果要對 UDP報文進行控制,必須知道 UDP報文的端口號。目前也只有E系列交換機、8016、6506和5516能夠?qū)崿F(xiàn)這 種組網(wǎng),以下按產(chǎn)品分別舉例(S8016的配置這里略去)。【3526E配置方法】1 ICMP報文控制PCA與交換機的eO/1端口相連,配置如下:1. 配置二層訪問控制規(guī)則SwitchAacl number 1OO2. 配置二層訪問控制子規(guī)則,禁止從任何端口的入報文出端口到eO/1SwitchA-acl-link-1OOrule deny icmp source 1.1.1.1 O destination1.1.1.2 O icmp-type echo3.

3、 激活該規(guī)則SwitchApacket-filter ip-group 1OOTCPM文單向訪問控制1. 配置三層訪問控制規(guī)則SwitchAacl number 1OO2. 主機ip地址為1.1.1.1的PC無法向1.1.1.2 的PC發(fā)起TCP連接建立請求SwitchA-acl-adv-1OOrule deny tcp established source 1.1.1.1 Odestination 1.1.1.2 O3. 激活該規(guī)則SwitchApacket-filter ip-group 1OO【 65O6 配置方法】ICMP報文控制PCA與交換機的e4/0/1端口相連,配置如下:1. 配

4、置擴展訪問控制規(guī)則SwitchAacl number 1002. 配置擴展訪問控制子規(guī)則,禁止 1.1.1.1 Ping 通1.1.1.23. 進入端口視圖SwitchA-acl-adv-100int e4/0/14. 激活該規(guī)則SwitchA-Ethernet4/0/1 packet-filter inbound ip-group 100 rule 0Tcprn文單向訪問控制PCA與交換機的e4/0/1端口相連,配置如下:1. 配置擴展訪問控制規(guī)則SwitchAacl number 1002. 主機ip地址為1.1.1.1 的PC可以pi ng通1.1.1.2 的PC但是不能通過網(wǎng)上 鄰居查

5、找到 1.1.1.2 ,反之則可以SwitchA-acl-adv-100 rule 1 deny tcp established source 1.1.1.1 0destination 1.1.1.2 03. 進入端口視圖 SwitchA-acl-adv-100int e4/0/14. 激活該規(guī)則SwitchA-Ethernet4/0/1 packet-filter inbound ip-group 100 rule 1【 5516 配置方法】ICMP報文控制PCA與交換機的e0/1端口相連,配置如下:1. 配置二層訪問控制規(guī)則SwitchAacl number 100配置訪問控制子規(guī)則,禁止

6、主機 pcb 訪問 pcaSwitchA-acl-link-100rule deny icmp source 1.1.1.3 0 destination1.1.1.3 0Se rver 1-i .-Port 23Port 242. 配置訪問控制子規(guī)則,禁止主機 pcc訪問pea SwitchA-acl-li nk-100rule deny icmp source 1.1.1.4 0 dest in ati on1.1.1.2 03. 激活該規(guī)則SwitchApacket-filter ip-group 100TCPrn文單向訪問控制1. 配置三層訪問控制規(guī)則SwitchAacl number

7、1002. 主機ip地址為1.1.1.3 的PC可以pi ng通1.1.1.2 的PC但是不能通過網(wǎng)上 鄰居查找到1.1.1.2,反之則可以SwitchA-acl-adv-100ruledeny tcp source 1.1.1.3 0 destination1.1.1.20 destination-port eq 1393. 激活該規(guī)則SwitchApacket-filter ip-group 1002. 雙向訪問控制1功能需求及組網(wǎng)說明Server 2、SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.0SwitchA-Vlan-

8、interface20ip address 10.20.1.1 255.255.0.0、Vian 1Cj_JIV Vian 20 JPortsPort1ort2 PSwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.0SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.0雙向訪問控制SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.0配置環(huán)境參數(shù) 說明:通過配置三層交換機的 acl 來實現(xiàn) vlan 之間的訪問控制組網(wǎng)需

9、求需求:組網(wǎng)和 vlan 分配如圖所示,要求 vlan 10、20、30 均可以訪問 server 1, 但是只有 vlan 10 和 vlan 20 可以訪問 server 2 ,同時 vlan 10 、20、30 之間 不能互訪。2數(shù)據(jù)配置步驟交換機雙向訪問控制流程如果是低端交換機同一網(wǎng)段內(nèi)的雙向訪問控制,也可以通過端口的 hybrid 屬性 來實現(xiàn),具體的內(nèi)容可以參考關(guān)于端口 bybrid 屬性的配置部分?!?526E配置方法】基礎(chǔ)配置1. 創(chuàng)建(進入) vlan10SwitchA vlan 102. 創(chuàng)建(進入) vlan10 的虛接口SwitchA interface Vlan-in

10、terface 103. 給 vlan20 的虛接口配置 IP 地址SwitchA-Vlan-interface10ip address 10.10.1.1 255.255.0.04. 創(chuàng)建(進入) vlan20SwitchA vlan 205. 創(chuàng)建(進入) vlan20 的虛接口SwitchA interface Vlan-interface 206. 給 vlan20 的虛接口配置 IP 地址7. 創(chuàng)建(進入) vlan30SwitchA vlan 308. 創(chuàng)建(進入) vlan30 的虛接口SwitchA interface Vlan-interface 309. 給 vlan30

11、的虛接口配置 IP 地址SwitchA-Vlan-interface30ip address 10.30.1.1 255.255.0.010. 創(chuàng)建(進入) vlan100SwitchA vlan 10011. 創(chuàng)建(進入) vlan100 的虛接口SwitchA interface Vlan-interface 10012. 給 vlan100 的虛接口配置 IP 地址SwitchA-Vlan-interface100ip address 10.100.1.1 255.255.0.013. 創(chuàng)建(進入) vlan200SwitchA vlan 20014. 創(chuàng)建(進入) vlan200 的虛

12、接口SwitchA interface Vlan-interface 20015. 給 vlan200 的虛接口配置 IP 地址SwitchA-Vlan-interface200ip address 10.200.1.1 255.255.0.0訪問控制配置1. 配置 ACLSwitchA acl num 100配置 acl 訪問控制列表禁止網(wǎng)段 10.10.0.0 訪問網(wǎng)段 10.20.0.0SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.00.0.255.2550.0.255.2550.0.255.2550.0.255.2550.

13、0.255.2550.0.255.2550.0.255.255SwitchA-acl-adv-100rule deny ip source 10.10.1. destination 10.20.1.1 0.0.255.2552. 禁止網(wǎng)段 10.10.0.0 訪問網(wǎng)段 10.30.0.0SwitchA-acl-adv-100rule deny ip source 10.10.1. destination 10.30.1.1 0.0.255.2553. 禁止網(wǎng)段 10.20.0.0 訪問網(wǎng)段 10.10.0.0SwitchA-acl-adv-100rule deny ip source 10.2

14、0.1. destination 10.10.1.1 0.0.255.2554. 禁止網(wǎng)段 10.20.0.0 訪問網(wǎng)段 10.30.0.0SwitchA-acl-adv-100rule deny ip source 10.20.1. destination 10.30.1.1 0.0.255.2555. 禁止網(wǎng)段 10.30.0.0 訪問網(wǎng)段 10.10.0.0SwitchA-acl-adv-100rule deny ip source 10.30.1. destination 10.10.1.1 0.0.255.2556. 禁止網(wǎng)段 10.30.0.0 訪問網(wǎng)段 10.20.0.0Swit

15、chA-acl-adv-100rule deny ip source 10.30.1. destination 10.20.1.1 0.0.255.2557. 禁止網(wǎng)段 10.30.0.0 訪問網(wǎng)段 10.200.0.0SwitchA-acl-adv-100rule deny ip source 10.30.1. destination 10.200.1.1 0.0.255.2558. 下發(fā)訪問控制列表SwitchApacket-filter ip 100【 6506 配置方法】基礎(chǔ)配置1. 創(chuàng)建(進入) vlan10SwitchA vlan 102. 創(chuàng)建(進入) vlan10 的虛接口Sw

16、itchA interface Vlan-interface 103. 給 vlan20 的虛接口配置 IP 地址SwitchA-Vlan-interface10ip address 10.10.1.1 255.255.0.04. 創(chuàng)建(進入) vlan20SwitchA vlan 205. 創(chuàng)建(進入) vlan20 的虛接口SwitchA interface Vlan-interface 206. 給 vlan20 的虛接口配置 IP 地址SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.07. 創(chuàng)建(進入) vlan30Swit

17、chA vlan 308. 創(chuàng)建(進入) vlan30 的虛接口SwitchA interface Vlan-interface 309. 給 vlan30 的虛接口配置 IP 地址SwitchA-Vlan-interface30ip address 10.30.1.1 255.255.0.010. 創(chuàng)建(進入) vlan100SwitchA vlan 10011. 創(chuàng)建(進入) vlan100 的虛接口SwitchA interface Vlan-interface 10012. 給 vlan100 的虛接口配置 IP 地址SwitchA-Vlan-interface100ip addres

18、s 10.100.1.1 255.255.0.013. 創(chuàng)建(進入) vlan200SwitchA vlan 20014. 創(chuàng)建(進入) vlan200 的虛接口SwitchA interface Vlan-interface 20015. 給 vlan200 的虛接口配置 IP 地址SwitchA-Vlan-interface200ip address 10.200.1.1 255.255.0.0訪問控制配置1. 配置 ACLSwitchA acl num 1002. 配置 acl 訪問控制列表禁止網(wǎng)段 10.10.0.0 訪問網(wǎng)段 10.20.0.0 SwitchA-acl-adv-100

19、rule 0 deny ip source 10.10.1.1 0.0.255.255destination 10.20.1.1 0.0.255.2553. 配置 acl 訪問控制列表禁止網(wǎng)段 10.10.0.0 訪問網(wǎng)段 10.30.0.0 SwitchA-acl-adv-100rule 1 deny ip source 10.10.1.1 0.0.255.255destination 10.30.1.1 0.0.255.2554. 配置acl訪問控制列表禁止網(wǎng)段10.20.0.0訪問網(wǎng)段10.10.0.0SwitchA-acl-adv-100rule 2 deny ip source 10

20、.20.1.1 0.0.255.255destination 10.10.1.1 0.0.255.2555. 配置 acl 訪問控制列表禁止網(wǎng)段 10.20.0.0 訪問網(wǎng)段 10.30.0.0 SwitchA-acl-adv-100rule 3 deny ip source 10.20.1.1 0.0.255.255destination 10.30.1.1 0.0.255.2556. 配置 acl 訪問控制列表禁止網(wǎng)段 10.30.0.0 訪問網(wǎng)段 10.10.0.0 SwitchA-acl-adv-100rule 4 deny ip source 10.30.1.1 0.0.255.25

21、5destination 10.10.1.1 0.0.255.2557. 配置 acl 訪問控制列表禁止網(wǎng)段 10.30.0.0 訪問網(wǎng)段 10.20.0.0 SwitchA-acl-adv-100rule 5 deny ip source 10.30.1.1 0.0.255.255destination 10.20.1.1 0.0.255.2558. 配置 acl 訪問控制列表禁止網(wǎng)段 10.30.0.0 訪問網(wǎng)段 10.200.0.0SwitchA-acl-adv-100rule 6 deny ip source 10.30.1.1 0.0.255.255 destination 10.2

22、00.1.1 0.0.255.255進入端口視圖SwitchAint e4/0/19. 下發(fā)訪問控制列表SwitchApacket-filter inbound ip 100 not-care-for-interface【 5516 配置方法】基礎(chǔ)配置1. 創(chuàng)建(進入) vlan10SwitchA vlan 102. 創(chuàng)建(進入) vlan10 的虛接口SwitchA interface Vlan-interface 103. 給 vlan20 的虛接口配置 IP 地址SwitchA-Vlan-interface10ip address 10.10.1.1 255.255.0.04. 創(chuàng)建(進

23、入) vlan20SwitchA vlan 205. 創(chuàng)建(進入) vlan20 的虛接口SwitchA interface Vlan-interface 206. 給 vlan20 的虛接口配置 IP 地址SwitchA-Vlan-interface20ip address 10.20.1.1 255.255.0.07. 創(chuàng)建(進入) vlan30SwitchA vlan 308. 創(chuàng)建(進入) vlan30 的虛接口SwitchA interface Vlan-interface 309. 給 vlan30 的虛接口配置 IP 地址 SwitchA-Vlan-interface30ip a

24、ddress 10.30.1.1 255.255.0.010. 創(chuàng)建(進入) vlan100SwitchA vlan 10011. 創(chuàng)建(進入) vlan100 的虛接口SwitchA interface Vlan-interface 10012. 給 vlan100 的虛接口配置 IP 地址 SwitchA-Vlan-interface100ip address 10.100.1.1 255.255.0.013. 創(chuàng)建(進入) vlan200SwitchA vlan 20014. 創(chuàng)建(進入) vlan200 的虛接口SwitchA interface Vlan-interface 20015. 給 vlan200 的虛接口配置 IP 地址 SwitchA-Vlan-interface200ip address 10.200.1.1 255.255.0.0 訪問控制配置1. 配置 ACLSwitchA acl num 1002. 配置 acl 訪問控制列表禁止網(wǎng)段 10.10.0.0 訪問網(wǎng)段 10.20.0.0 SwitchA-acl-adv-100rule deny ip source 10.10.1.1 0.0.255.255destination 10.20.1.1 0.0.255.2553. 配置 acl 訪問控制列表禁止網(wǎng)段 10.10.0.0 訪問網(wǎng)段 10.30

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論