三層交換機配置ACL（訪問控制列表）

時間 2020-05-27

標籤三層交換機配置 acl 訪問控制列表简体版

原文原文鏈接

三層交換機配置ACL（訪問控制列表）安全

說明：書本上講述的ACL主要是應用在路由器上，但如今三層交換機在大中型企業中的應用愈來愈普遍，三層交換機因擁有路由器的功能而逐漸代替路由器。ACL訪問控制列表是構建安全規範的網絡不可缺乏的，但在三層交換機上配置ACL卻不爲一些剛進企業的初級網絡管理維護人員所知。在這裏我介紹一下在三層交換機上配置ACL的試驗過程。網絡

試驗拓撲介紹：ide

三層交換機上配置本地Vlan 實現下層接入層交換機不一樣Vlan互通。學習

PC1 192.168.20.10 VLAN 192.168.20.1spa

PC2 192.168.30.20 VLAN 192.168.30.13d

PC3 192.168.40.30 VLAN 192.168.40.1router

PC4 192.168.50.40 VLAN 192.168.50.1blog

F0/1 192.168.70.2 （開啓路由功能）接口

路由器上配置ip

F0/0 192.168.60.1 PC5 192.168.60.50

F0/1 192.168.70.1

試驗步驟：

一、在二層交換機上把相應的PC加入VLAN

查看交換機Switch0

Switch0(config)#show run
！

interface FastEthernet0/1

switchport access vlan 2

interface FastEthernet0/2

switchport access vlan 3

查看交換機Switch1

Switch1#show run

interface FastEthernet0/3

switchport access vlan 4

interface FastEthernet0/4

switchport access vlan 5

二、在三層交換機上配置相應的本地VALN

Switch(config)#inter vl 2

Switch(config-if)#ip add 192.168.20.1 255.255.255.0

Switch(config-if)#no shut

Switch(config)#inter vl 3

Switch(config-if)#ip add 192.168.30.1 255.255.255.0

Switch(config-if)#no shut

Switch(config)#inter vl 4

Switch(config-if)#ip add 192.168.40.1 255.255.255.0

Switch(config-if)#no shut

Switch(config)#inter vl 5

Switch(config-if)#ip add 192.168.50.1 255.255.255.0

Switch(config-if)#no shut

Switch(config-if)#exi

在接口itnerface f0/1上開啓路由接口

Switch(config)#inter f0/1

Switch(config-if)#no switchport

三、在二層交換機和三層交換機之間開啓中繼鏈路

四、在路由器和三層交換機上配置動態路由協議RIP

Router（config）#router rip

Router（config）#network 192.168.60.0

Router（config）# network 192.168.70.0

三層交換機上配置

Switch(config)#router rip

Switch(config-router)#ne

Switch(config-router)#network 192.168.70.0

Switch(config-router)#network 192.168.20.0

Switch(config-router)#network 192.168.30.0

Switch(config-router)#network 192.168.40.0

Switch(config-router)#network 192.168.50.0

Switch(config-router)#

五、驗證各PC互通

PC>ping 192.168.30.20

Pinging 192.168.30.20 with 32 bytes of data:

Request timed out.

Reply from 192.168.30.20: bytes=32 time=110ms TTL=126

Reply from 192.168.30.20: bytes=32 time=125ms TTL=126

Ping statistics for 192.168.30.20:

Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),

Approximate round trip times in milli-seconds:

Minimum = 110ms, Maximum = 125ms, Average = 115ms

PC>ping 192.168.40.30

Pinging 192.168.40.30 with 32 bytes of data:

Reply from 192.168.40.30: bytes=32 time=94ms TTL=126

Reply from 192.168.40.30: bytes=32 time=125ms TTL=126

Reply from 192.168.40.30: bytes=32 time=109ms TTL=126

Ping statistics for 192.168.40.30:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 94ms, Maximum = 125ms, Average = 113ms

六、在三層交換機上配置ACL

注意若是設置不一樣VALN的PC之間不能互通，則應用的接口應爲VLAN對應的本地Llan接口。

設置PC1不能ping通PC3和PC4

Switch(config)#access-list 10 deny host 192.168.20.10

應用於接口

Switch(config)#inter vl 4

Switch(config-if)#ip access-group 10 out

Switch(config-if)#exi

Switch(config)#inter vl 5

Switch(config-if)#ip access-group 10 out

Switch(config-if)#

或者是

Switch(config)#inter vl 2

Switch(config-if)#ip access-group 10 in

Switch(config-if)#

（註上：此處ACL應用於接口，從PC1到PC3 和PC4，數據流走向是通過三層交換機上配置的本地Vlan2接口進入，再從三層交換機上配置的本地Vlan4出去到達PC3，從本地Vlan5出去到達PC4。因此在配置ACL時應注意訪問控制列表應用於哪兒接口？！）

七、驗證：

PC1不能ping通PC3和PC4

PC>ping 192.168.50.40

Pinging 192.168.50.40 with 32 bytes of data:

Request timed out.

Ping statistics for 192.168.50.40:

Packets: Sent = 3, Received = 0, Lost = 3 (100% loss),

Control-C

PC>ping 192.168.40.30

Pinging 192.168.40.30 with 32 bytes of data:

Request timed out.

容易發生的錯誤分析：可能在學習的時候只是學習瞭如何在路由器上配置ACL，而不知道在三層交換機上也能配置ACL。或許有些同窗在三層交換機上各接口開啓路由接口模式，就把三層交換機看成路由器來配置，雖然說三層交換機有路由器的功能，可是一些協議運用起來仍是和路由器有差異的。

就好比說這個試驗在三層交換機的下鏈接口f0/5和f0/6上開啓路由接口模式，結果是不配置ACL的前提下，各Vlan不通。因此f0/5和f0/6不能開啓路由接口模式。在Vlan 2、3、4、5之間配置ACL時，要弄清楚數據流的進、出接口，在這裏Vlan2、3、4、5之間的數據流的進、出口就是在三層交換機上配置本地Vlan接口。

其實ACL原理都同樣、只要清楚三層交換機上配置ACL和路由器上配置的區別，在三層交換機上配置ACL就簡單易行。

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。