leao666 的BLOG
用户名：leao666
访问量：899
注册日期：
阅读量：5863
阅读量：12276
阅读量：413829
阅读量：1101599
51CTO推荐博文
通过Console口登录交换机&&&&通过Console口登录主要用于交换机第一次上电或者本地配置。或者无法通过远程访问时，可通过Console口登录。&&&&在配置通过Console口配置交换机之前，需要完成以下任务：准备好PC/终端（COM串口和RS-232电缆）PC已安装终端仿真程序（超级终端、SecureCRT、Xshell等）&&&&使用配置电缆将PC的COM口（如果没有COM口，可以使用USB转RS-232连接）和交换机的Console口连接，然后把交换机上电。然后通过终端软件连接。&&&&这里我当时遇到的问题是：Port 应该选择COM* 呢？这个端口号，我们可以在设备管理器中查看，并且可以更改端口的编号。方法如下：设备管理器 --- 端口（COM和LPT）--- 双击要修改的COM口（或者右键-属性）-- 端口设置 -- 高级 --端口号OK， 登录到交换机之后，就开始配置吧。以下配置中，绿色字体是需要自定义的。# 设置设备的名称为GSH-FZ-Front&Quidway&&system-view[Quidway] sysname&GSH-FZ-Front# 设置查看设备的时区,时间# 设置当前时间：clock datetime HH:MM:SS YYYY-MM-DD# 设置时区： clock timezone time-zone-name { add | minus } offset&Quidway&&clock timezone&BJ&add&8&Quidway&&clock datetime&18:20:30 &Quidway& display clock#设定NTP服务器，自动获取更新时间，假设NTP服务器为&202.120.2.101，202.112.10.36&Quidway&&system-view[Quidway] ntp-service unicast-peer&202.120.2.101[Quidway] ntp-service unicast-peer&202.112.10.36# 配置S5700为内网的NTP服务器，内网的二层交换机指定这个S57为 NTP server 就行&Quidway&&system-view[Quidway]&ntp-service authentication enable[Quidway]&ntp-service sync-interval 180[Quidway]&ntp-service authentication-keyid 42 authentication-mode md5 cipher&123456[Quidway]&ntp-service reliable authentication-keyid 42# 查看NTP状态&Quidway& display clock&Quidway& display ntp-service status# 设置标题文本&Quidway&&system-view# 设置登录时的提示信息:&header login { information text | file file-name }[Quidway] &header login information #Welcome S5700## 设置登录成功后的提示信息:&header shell { information text | file file-name }&[Quidway] header shell information&#Welcome S5700##telnet远程登录# password { simple | cipher }# 如果使用simple选项，密码将以明文形式保存在配置文件中。一般情况下，应使用cipher 选项将密码加密保存，同时使用# cipher选项后，无法从系统中取回，请妥善保管密码。&Quidway&&system-view[Quidway] aaa[Quidway-aaa] local-user&testadmin&password cipher&p@ssw0rd&privilege level 15[Quidway-aaa] local-user testadmin service-type telnet & & &&&(设置用户登录方式为 telnet， 只能通过telnet方式登录，还有这几种&ssh http web) &一般不配置它。[Quidway-aaa] quit[Quidway]user-interface vty&0 4[Quidway-vty0-4]authentication-mode aaa&&&&&&&&（设置认证方式为: aaa ）#SSH远程登录需求：PC能通过SSH协议远程登录交换机进行管理。1、生成本地密钥对：&Quidway&&system-view[Quidway] rsa local-key-pair createThe key name will be: Auotnavi-callcenter-01_HostThe range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512,&&&&&& It will take a few minutes.Input the bits in the modulus[default = 512]:1024Generating keys....++++++............++++++...............++++++++.++++++++2、配置VTY用户界面&Quidway&&system-view[Quidway] user-interface vty 0 4[Quidway-ui-vty0-4] &authentication-mode aaa# 必须设置VTY用户验证方式为AAA，否则&protocol inbound ssh 命令无法成功[Quidway-ui-vty0-4] &protocol inbound ssh3、创建SSH用户及密码[Quidway] aaa[Quidway-aaa] local-user admin password cipher 123[Quidway-aaa] local-user admin privilege level 15[Quidway-aaa] local-user admin service-type ssh4、使用Stelnet，并配置SSH用户的认证方式[Quidway] stelnet server enable[Quidway] ssh authentication-type default password## 划分VLAN#创建VLAN&Quidway&&system-view&&&&&&&&&&&&&&&&&&&&（一般缩写为：sys）[Quidway] vlan&10 & & & & & & & & & & & & & & & (批量添加vlan: &vlan batch 10 20 30)[Quidway-vlan10] quit&&&&&&&&&&&&&&&&&&&&&&&&& （一般缩写为：q）#设定端口模式，默认为trunk，需要将端口划入VLAN之前，先把端口类型转为access&Quidway&&system-view&&&&&&&&&&&&&&&&&&&&[Quidway] int gigabitethernet&0/0/1[Quidway-GigabitEthernet0/0/1] port link-type&access[Quidway-GigabitEthernet0/0/1] quit#将端口加入Vlan&Quidway&&system-view[Quidway] vlan&10[Quidway-vlan131] port gigabitethernet&0/0/1&（连续多个端口，用 xx to xx， 如：port giga 0/0/5 to 0/0/10）[Quidway-Vlan131] quit#设置Trunk&Quidway&&system-view[Quidway] interface GigabitEthernet&0/0/23[Quidway-GigabitEthernet0/0/23] port link-type&trunk# 如果不设置下面这条配置，VLAN10 ， VLAN131都会处于DOWN的状态[Quidway-GigabitEthernet0/0/23] port trunk allow-pass vlan&10 131&&&&(多个VLAN列出)#设置VLAN IP(管理IP)&Quidway&&system-view[Quidway] interface vlanif&131[Quidway-Vlanif131] ip address&192.168.0.253 255.255.255.0 &(缩写： ip add &IP &MASK)[Quidway-Vlanif131] shutdown[Quidway-Vlanif131] undo shutdown# 删除VLAN1、如果配置VLAN的管理IP，在系统视图下，使用 undo int vlan 10 命令删除VLAN 10的3层虚拟接口，这样VLAN 10就被删除了，但是划入VLAN 10 的那些端口依然在VLAN 10中。这时还需要把那些端口恢复，让他们不属于任何VLAN&Quidway&&system-view[Quidway] undo int vlanif 102、在系统视图下，使用 undo vlan 10 命令可以删除2层接口，这个命令可以释放那些原来划分为VLAN 10的端口，现在这些端口就属于默认的VLAN 1了。&Quidway&&system-view[Quidway] undo vlan&10[Quidway] display vlan当然，要向VLAN添加端口，是可以直接在VLAN视图中添加的。需要注意的是：交换机上的某个端口被设置成access模式，且加入了一个VLAN， 要想将这个端口模式改为trunk，直接在接口视图中“port link-type trunk” 是不行的，会出现 Error: Please renew the default configurations. 这时需要先从VLAN中删除这个端口，也就是让这个接口恢复到默认的VLAN 1， 才能将这个端口设置为trunk。&Quidway&&system-view[Quidway] vlan&10[Quidway] undo port giga 0/0/1# 配置端口组# S5700有48个端口，如果要配置VLAN，需要为每个端口先配置port link-type access，才能加入到VLAN，这岂不是很郁闷？# 于是乎，端口组的出现了，把一些端口添加到一个组里，然后对这个组进行配置，这样就能批量配置&Quidway&&system-view[Quidway] port-group 1 & & &# 创建名为1的端口组[Quidway-port-group-1] group-member GigabitEthernet 0/0/10 to GigabitEthernet 0/0/20 & # 添加端口到组# 然后就可以批量设置端口了[Quidway-port-group-1] port link-type access&&&&&&&&&&&&# 设置端口类型[Quidway-port-group-1] port default vlan 10&&&&&&&&&&&& # 把端口加入vlan# 查看组配置[Quidway] display cur | include group对端口进行限速&&&&假设对交换机的第2个端口进行限速，让通过这个端口的下载速度不超过 128KB/SInbound:&&&&&入端口的流量限速Outbound: & 出端口的流量限速&Quidway&&system-view[Quidway]&int giga 0/0/2[Quidway-GigabitEthernet0/0/2] qos lr outbound cir 1024 cbs 204800&# 默认单位：KB，&1024表示1M的带宽，理论下载速度就是 128KB/S， cbs代表突发信息速率，cir表示承诺信息速率# 取消限速[Quidway-GigabitEthernet0/0/2] undo qos lr outbound&配置基于地址池的DHCP服务器1、全局启用DHCP服务&Quidway&&system-view[Quidway] dhcp enable2、配置IP地址池 10 的属性（地址池范围、DNS地址、出口网关、租期）[Quidway] ip pool 10[Quidway] network 192.168.10.0 mask 255.255.255.0[Quidway] excluded-ip-address 192.168.10.250 192.168.10.254 &（start_ip - end_ip）[Quidway] dns-list 202.103.24.68[Quidway] gateway-list 192.168.10.1[Quidway] lease day 10[Quidway] quit2、配置VLANIF 10 接口下的客户端从全局地址池中获取IP地址[Quidway] interface vlanif 10[Quidway-Vlanif10] ip add 192.168.10.1 255.255.255.0&&&&(或者 ip add 192.168.10.1 &24)[Quidway-Vlanif10] dhcp select global[Quidway-Vlanif10] quit#设置默认路由&Quidway&&system-view[Quidway] ip route-static&0.0.0.0 0.0.0.0 192.168.0.254# 关闭WEB Server,dhcp&Quidway&&system-view[Quidway] undo http server enable[Quidway] undo dhcp enable# 用户管理用户登录界面CON& & &适用于从Console接口进行本地登录VTY&&&& &适用于Telnet或SSH方式进行本地或远程登录用户级别&&&&用户分为多个级别，标识越高则优先级越高。如果不对用户进行优先级规划，默认用户登录级别为 0 - 3 级。用户所能访问命令的级别由用户的级别决定：如果对用户采用不验证或者password验证，登录到S5700的用户所能访问的命令级别由登录时的用户级别决定。如果对用户采用AAA验证，登录到S5700的用户所能访问的命令级别由AAA配置信息中本地用户的级别决定。登录用户划分为16级，与命令级别对应。不同级别的用户登录后，只能使用等于或低于自己级别的命令。用户所能访问的命令包括用户所在用户级别的命令以及低于此用户级别的命令。验证用户的方式：&&&&系统提供AAA本地验证、密码验证和不验证三种方式。 如何配置启用哪种验证方式呢？&Quidway&&system-view# user-interface 配置用户接口[Quidway] user-interface [ui-type] first-ui-number [last-ui-number]# 配置启用用户验证方式[Quidway] authentication-mode { aaa | password | none }super密码：&&&&华为super 命令设置的口令用于低级用户向高级别用户切换时进行验证，类似于Linux系统从普通用户切换到root用户时需要验证。用户共分为4级，分别是访问级（0）、监控级（1）、系统级（2）和管理级（3），当低级别的用户向高级别的用户身份切换时： super [level] , 此时只有验证通过后才能切换成功。可以通过super命令提升用户级别。配置实例：& & 1、配置console口为密码验证方式&Quidway&&system-view[Quidway] user-interface console 0[Quidway-ui-console0] idle-timeout 0 0 & ( idle-timeout minutes [seconds] )[Quidway-ui-console0] history-command max-size 100# 配置用户级别[Quidway-ui-console0] user privilege level 3&&&&&&&&# 设置此接口登录的用户级别# 配置验证方式 &password[Quidway-ui-console0] authentication-mode &password&[Quidway-ui-console0] set authentication password { cipher | simple } password&&&&2、配置VTY虚拟接口使用3a认证&&&&配置VTY 0-4， 优先级为2， 对从VTY 0-4登录的用户进行AAA验证，用户登录时需要输入用户名： huawei, 密码：huawei登录后，如果用户超过30分钟未对交换机进行操作，将断开与交换机的连接。# 第一步：配置接口的验证方式&Quidway&&system-view[Quidway] user-interface maximum-vty 5&&&&配置可以同时登录交换机的VTY最大个数[Quidway] user-interface vty 0 4[Quidway-ui-vty0-4] authentication-mode aaa[Quidway-ui-vty0-4]&user privilege level 2# 这里的用户级别设置为2 ， 但是采用AAA验证，那么级别由AAA中的本地用户级别决定。 如果采用password或者不验证，那么从此接口登录的用户就是 level 2 级别的。[Quidway-ui-vty0-4]&idle-timeout 30&&&&（idle-timeout minutes [seconds]）[Quidway-ui-vty0-4]&quit# 第二步：配置AAA用户，密码以及权限[Quidway] aaa[Quidway-aaa] local-user huawei password cipher huawei&# 下面service-type一般不用配置, 将允许所有类型[Quidway-aaa] local-user huawei service-type telnet[Quidway-aaa] local-user huawei privilege level 15[Quidway-aaa] quit# 第三步：配置supper密码[Quidway] super password level 3 cipher huawei#保存配置&Quidway&&save# 配置FTP1、创建vlan&Quidway&&system-view[Quidway] vlan 102、将端口划入vlan[Quidway-vlan10] port GigabitEthernet 0/0/1 to 0/0/4&&&&&&&&&&&&(注意：划入的端口模式必须为access)[Quidway-vlan10] quit3、配置vlan的管理IP[Quidway] int vlanif 10[Quidway-Vlanif10] ip add 192.168.1.254 255.255.255.0[Quidway-Vlanif10] quit4、添加FTP用户[Quidway] aaa[Quidway-aaa] local-user huawei password cipher huawei privilege level 15[Quidway-aaa] local-user huawei service-type ftp&&&&&&&&&&&&&&&&# 配置用户为ftp登录[Quidway-aaa] local-user huawei ftp-directory flash:/&&&&&&&&& # 配置登录的FTP目录[Quidway-aaa] quit5、开启ftp服务# 配置ftp服务器超时断开的时间[Quidway] ftp timeout 30&&&&&&&&# 单位 minutes# 默认情况下，交换机是没有开启ftp服务的，需要手动打开[Quidway] ftp server enable# 使用display ftp-server 命令查看ftp服务器的配置和状态信息[Quidway] display ftp-server6、可选：配置ACL基本访问控制列表# 配置ACL规则[Quidway] acl number 2001[Quidway-acl-basic-2001] rule permit source 192.168.1.10 0.0.0.0&[Quidway-acl-basic-2001] quit# 把acl规则应用到ftp[Quidway] ftp acl 20017、连接测试# 打开命令提示符，或者其他ftp工具C:\Users\admin& ftp 192.168.1.254Connected to 192.168.1.254220 FTP servece ready.User(192.168.1.254(none)):huawei331 Password required for huawei.Password:230 User logged in.ftp&&# 配置WEB1、上传web文件# 注意：要开启web服务，需要先上传web管理文件(xxx.web.zip) 到交换机的根目录下# 可以通过ftp上传C:\Users\admin& ftp 192.168.1.254ftp& put xxx.web.zip&2、开启web服务&Quidway&&system-view[Quidway]&http server load flash:/xxx.web.zip[Quidway] http server enable3、配置web用户[Quidway] aaa[Quidway-aaa] local-user webadmin password cipher webadmin[Quidway-aaa] local-user webadmin service-type http[Quidway-aaa] quit4、通过浏览器测试URL 地址： http://192.168.1.254#相关查看命令[Quidway] display version 显示VRP版本号[Quidway] display current-configuration 显示系统运行配置信息[Quidway] display saved-configuration & 显示保存的配置信息[Quidway] display interfaces brief 显示接口配置信息[Quidway] display history-command&&&&显示历史命令记录# 管道过滤[Quidway] display xxx | { include | exclude | begin } &strings &&# 当出现 -- More -- 时，同样支持/expr&&&&&&&&== begin-expr&&&&&&&&== exclude+expr & & & == include&[Quidway] display current-configuration | include ntp[Quidway] display current-configuration | include ip|user# 注意第一个 | 是管道, 那么之后的 | 都不认为是管道，而是正则表达式的运算符# 命令是不区分大小写的，但是 strings 是区分的。
了这篇文章
类别：未分类┆阅读(0)┆评论(0)您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
52扩展ACL访问控制列表实验三(VLAN方式VTY访问限制).doc 6页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
需要金币：150 &&
52扩展ACL访问控制列表实验三(VLAN方式VTY访问限制)
你可能关注的文档：
··········
··········
5.3扩展ACL访问控制列表实验三(VLAN方式、VTY访问限制)【项目情境】假设你是某公司的网络管理员，公司的销售部（172.16.1.0网段），经理部（172.16.2.0网段），和内网WWW和FTP服务器（172.16.4.2），为了安全起见，公司领导要求禁止销售部172.16.1.0/24网段访问内网WWW和FTP服务器的telnet端口，但经理部不受限制。要求使用编号方式在三层交换机的VTY上进行标准ACL的应用，增强远程登录的安全性。【项目目的】1.掌握命名方式扩展访问控制列表的制定规则与配置方法。2.巩固三层交换机的SVI路由功能和在三层交换机的VTY上进行扩展ACL的应用。【相关设备】三层交换机1台、二层交换机1台(模拟外网服务器)，直连线3根。【项目拓扑】【项目任务】1.如上图搭建网络环境，对三层交换机建立相应的VLAN，加入对应端口并配置SVI地址，形成路由。2.配置PC机、SwitchB的地址和默认网关，设置SwitchB的远程登录密码为wjxvtc。测试所有设备之间的联通性(应该全通)。在PC1和PC2远程登录SwitchB，测试telnet命令及联通性。3.设置扩展IP访问控制列表（命名方式），禁止172.16.1.0/24网段访问172.16.4.0/24网段的telnet端口，其他不受影响。查看配置和端口的状态，并测试结果(PC1telnetSwitchB不通，PC1pingSwitchB通，但PC2telnetSwitchB通，PC2pingSwitchB通)。把PC1的地址改成172.16.1.3，PC1telnetSwitchB仍然不通，PC1pingSwitchB通。4.对三层交换机SwitchA配置远程登录密码为wjxvtc，特权密码为abcdef（加密方式）。5.设置标准IP访问控制列表（编号方式）,只允许PC1可以对三层交换机SwitchA进行远程登录。测试结果（PC1可以telnetSwitchA，PC2不能telnetSwitchA）。6.最后把配置以及ping的结果截图打包，以“学号姓名”为文件名，提交作业。7.使用锐捷设备（2、3人一组）完成上面的步骤，将SwitchB改成一台PC。【实验命令】1.对三层交换机SwitchA配置远程登录密码为wjxvtc，特权密码为abcdef（加密方式）。SwitchA(config)#linevty015SwitchA(config-line)#passwordwjxvtcSwitchA(config-line)#loginSwitchA(config-line)#exitSwitchA(config)#enablesecretabcdef2.设置标准IP访问控制列表（编号方式），只允许PC1可以对三层交换机SwitchA进行远程登录。(1)定义规则：SwitchA(config)#access-list9permithost172.16.1.2SwitchA(config)#access-list9denyany(2)应用端口：SwitchA(config)#linevty015SwitchA(config-line)#access-class9in【注意事项】1.比较在三层交换机上进行VLAN地址设置和进行端口地址的区别和相同点。2.注意在三层交换机VTY上进行标准ACL应用的access-class9in命令。【配置结果】1.SwitchA#showiprouteCodes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPi-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefault,U-per-userstaticroute,o-ODRP-periodicdownloadedstaticrouteGatewayoflastresortisnotset172.16.0.0/24issubnetted,3subnetsC172.16.1.0isdirectlyconnected,Vlan10C172.16.2.0isdirectlyconnected,Vlan20C172.16.4.0isdirectlyconnected,Vlan302.SwitchB#showrunning-configBuildingconfig
正在加载中，请稍后...如何配置Cisco路由器ACL访问控制列的实际案例
　　什么是ACL?
　　访问控制列表简称为ACL,访问控制列表使用包过滤技术，在上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。
　　第一阶段实验：配置实验环境，网络能正常通信
　　R1的配置：
代码如下:　　R1&en　　R1#conf t　　R1（config）#int f0/0　　R1（config-if）#ip addr 10.0.0.1 255.255.255.252R1（config-if）#no shut　　R1（config-if）#int loopback 0　　R1（config-if）#ip addr 123.0.1.1 255.255.255.0R1（config-if）#int loopback 1　　R1（config-if）#ip addr 1.1.1.1 255.255.255.255R1（config-if）#exit　　R1（config）#ip route 192.168.0.0 255.255.0.0 10.0.0.2R1（config）#username benet password testR1（config）#line vty 0 4　　R1（config-line）#login local
　　SW1的配置：
代码如下:　　SW1&en　　SW1#vlan data　　SW1（vlan）#vlan 2　　SW1（vlan）#vlan 3　　SW1（vlan）#vlan 4　　SW1（vlan）#vlan 100　　SW1（vlan）#exit　　SW1#conf t　　SW1（config）#int f0/1　　SW1（config-if）#no switchport　　SW1（config-if）#ip addr 10.0.0.2 255.255.255.252SW1（config-if）#no shut　　SW1（config-if）#exit　　SW1（config）#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1（config）#int range f0/14 - 15　　SW1（config-if-range）#switchport trunk encapsulation dot1qSW1（config-if-range）#switchport mode trunkSW1（config-if-range）#no shut　　SW1（config-if-range）#exit　　SW1（config）#int vlan 2　　SW1（config-if）#ip addr 192.168.2.1 255.255.255.0SW1（config-if）#no shut　　SW1（config-if）#int vlan 3　　SW1（config-if）#ip addr 192.168.3.1 255.255.255.0SW1（config-if）#no shut　　SW1（config-if）#int vlan 4　　SW1（config-if）#ip addr 192.168.4.1 255.255.255.0SW1（config-if）#no shut　　SW1（config-if）#int vlan 100　　SW1（config-if）#ip addr 192.168.100.1 255.255.255.0SW1（config-if）#no shut　　SW1（config-if）#exit　　SW1（config）#ip routing　　SW1（config）#int vlan 1　　SW1（config-if）#ip addr 192.168.0.1 255.255.255.0SW1（config-if）#no shut　　SW1（config-if）#exit　　SW1（config）#username benet password testSW1（config）#line vty 0 4
　　SW1（config-line）#login local
　　SW2的配置：
代码如下:　　SW2&en　　SW2#vlan data　　SW2（vlan）#vlan 2　　SW2（vlan）#vlan 3　　SW2（vlan）#vlan 4　　SW2（vlan）#exit　　SW2#conf t　　SW2（config）#int f0/15　　SW2（config-if）#switchport mode trunk　　SW2（config-if）#no shut　　SW2（config-if）#exit　　SW2（config）#int f0/1　　SW2（config-if）#switchport mode access　　SW2（config-if）#switchport access vlan 2SW2（config-if）#no shut　　SW2（config-if）#int f0/2　　SW2（config-if）#switchport mode access　　SW2（config-if）#switchport access vlan 3SW2（config-if）#no shut　　SW2（config-if）#int f0/3　　SW2（config-if）#switchport mode access　　SW2（config-if）#switchport access vlan 4SW2（config-if）#no shut　　SW2（config-if）#int vlan 1　　SW2（config-if）#ip addr 192.168.0.2 255.255.255.0SW2（config-if）#no shut　　SW2（config-if）#exit　　SW2（config）#ip default-gateway 192.168.0.1SW2（config）#no ip routing　　SW2（config）#username benet password testSW2（config）#line vty 0 4　　SW2（config-line）#login local
　　SW3的配置：
代码如下:　　SW3&en　　SW3#vlan data　　SW3（vlan）#vlan 100　　SW3（vlan）#exit　　SW3#conf t　　SW3（config）#int f0/15　　SW3（config-if）#switchport mode trunk　　SW3（config-if）#no shut　　SW3（config-if）#int f0/1　　SW3（config-if）#switchport mode access　　SW3（config-if）#switchport access vlan 100SW3（config-if）#no shut　　SW3（config-if）#int vlan 1　　SW3（config-if）#ip addr 192.168.0.3 255.255.255.0SW3（config-if）#no shut　　SW3（config-if）#exit　　SW3（config）#ip default-gateway 192.168.0.1SW3（config）#no ip routing　　SW3（config）#username benet password testSW3（config）#line vty 0 4　　SW3（config-line）#login local
　　网络管理区主机PC1（这里用路由器模拟）
代码如下:　　R5&en　　R5#conf t　　R5（config）#int f0/0　　R5（config-if）#ip addr 192.168.2.2 255.255.255.0R5（config-if）#no shut　　R5（config-if）#exit　　R5（config）#ip route 0.0.0.0 0.0.0.0 192.168.2.1
　　财务部主机PC2配置IP:
　　IP地址：192.168.3.2 网关：192.168.3.1
　　信息安全员主机PC3配置IP:
　　IP地址：192.168.4.2 网关：192.168.4.1
　　服务器主机配置IP:
　　IP地址：192.168.100.2 网关：192.168.100.1第一阶段实验验证测试：
　　所有部门之间的主机均能互相通信并能访问服务器和外网（测试方法：用PING命令）
　　在所有主机上均能远程管理路由器和所有交换机。（在PC主机上用telnet命令）
　　第二阶段实验：配置ACL实现公司要求
　　1、只有网络管理区的主机才能远程管理路由器和交换机R1的配置：
代码如下:　　R1#conf t　　R1（config）#access-list 1 permit 192.168.2.0 0.0.0.255R1（config）#line vty 0 4　　R1（config-line）#access-class 1 in
　　SW1的配置
代码如下:　　SW1#conf t　　SW1（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW1（config）#line vty 0 4　　SW1（config-line）#access-class 1 in
　　SW2的配置
代码如下:　　SW2#conf t　　SW2（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW2（config）#line vty 0 4　　SW2（config-line）#access-class 1 in
　　SW3的配置
代码如下:　　SW3#conf t　　SW3（config）#access-list 1 permit 192.168.2.0 0.0.0.255SW3（config）#line vty 0 4　　SW3（config-line）#access-class 1 in
　　验证：在PC1可以远程TELNET管理路由器和交换机，但在其他主机则被拒绝telnet
　　2、内网主机都可以访问服务器，但是只有网络管理员才能通过telnet、ssh和远程桌面登录服务器，外网只能访问服务器80端口。
　　在SW1三层交换机上配置扩展ACL
　　3、192.168.3.0/24网段主机可以访问服务器，可以访问网络管理员网段，但不能访问其他部门网段，也不能访问外网。
　　在SW1三层交换机上配置扩展ACL
　　4、192.168.4.0/24网段主机可以访问服务器，可以访问管理员网段，但不能访问其他部门网段，可以访问外网。
　　在SW1三层交换机上配置扩展ACL
　　以上就是通过实际案例来告诉大家如何配置Cisco路由器ACL访问控制列，谢谢阅读，希望能帮到大家，请继续关注网管之家，我们会努力分享更多优秀的文章。
顶一下(0) 踩一下(0)
热门标签：