实验三接入交换机上的控制与限制.doc

实验三 接入交换机上的控制与限制【实验名称】接入交换机上的控制与限制【实验目的】掌握如何在交换机上划分基于端口的VLAN、如何给VLAN内添加端口，设置trunk口；设置ACL过滤数据包。【需求分析】通过划分Port VLAN实现交换机的端口隔离，然后使在同一VLAN里的计算机系统能相互通信，而在不同VLAN里的计算机系统不能进行相互通信。实验trunk 口的功能，实验通过设置ACL来对数据包进行过滤。【预备知识】 交换机的基本配置方法，VLAN的工作原理和配置方法，Trunk的工作原理和配置方法，ACL的基本知识Vlan 和 trunk 已经介绍过。（trunk 默认通过所有的vlan 但它的本征vlan 是vlan 1 ，也就是trunk只接受特定vlan 1 的管理信息）ACL（Access Control List 访问控制列表）可以实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。 ACL分为两种：标准访问控制列表和扩展访问控制列表。标准访问控制列表可以根据数据包的源IP地址来定义规则，实现数据包的过滤。 扩展访问控制列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，实现数据包的过滤。另外还有针对 mac地址进行控制的 Mac ACL。ACL基于接口进行规则的应用，分为：入栈应用和出栈应用。入栈应用是指，对外部经由接口进入路由器或交换机的数据包，进行过滤。出栈应用是指，路由器或交换机从该接口向外转发数据时，进行数据包的过滤。ACL的配置有两种方式：按照编号的访问控制列表，按照命名的访问控制列表。标准访问控制列表编号范围是199、13001999，扩展IP访问控制列表编号范围是100199、20002699。实验3.1 【实验步骤】第一步 在交换机上划分VLAN 添加端口，并写明端口注释Swtich#conf t / 进入全局配置模式Swtich#(config)vlan 10 /在交换机上建立vlan 10Swtich(config-vlan)#name vlan10 /注释vlan 10 的名称是 vlan10Swtich(config-vlan)#vlan 20 /直接进入vlan 20Swtich(config-vlan)#name vlan20 /注释vlan 20 的名称是 vlan20Swtich(config-vlan)#exitSwtich(config)#interface range fastEthernet 0/1 - 2 /进入端口配置模式Swtich(config-if)# sw ac vlan 10 / 设置这两个端口为vlan 10Swtich(config-if)#exitSwtich(config)#interface range fastEthernet 0/11 - 12 /进入端口配置模式Swtich(config-if)# sw ac vlan 20 / 设置这两个端口为vlan 20Swtich(config-if)#exitSwtich(config-if)int ran fa 0/15 - 16 /进入15和16口的端口配置模式Swtich(config-if)# switchport trunk encapsulation dot1q #有些交换机需用此命令，大部分交换机不用，可跳过这一步Swtich(config-if)#switchport mode trunk /指明此端口为trunk模式Swtich(config-if)sw trunk allowed vlan all /指明trunk 允许所有vlan通过，有些交换机的命令可能不一样，请用？学习Swtich(config-if)des trunk /加注释说明此口为 trunkSwtich(config-if)#exitSwtich(config)#exitSwtich# sh run / 查看配置Swtich# sh int status / 查看端口状态注： 交换机上的其他端口要设置为默认的 vlan 1第二步：验证配置1 将一台电脑的ip 地址设置为 00 ，并把防火墙关闭；将另一台电脑的ip 地址设置为 00 ，并把防火墙关闭2 用网线将两台电脑分别连接在交换机的第 1第2端口上，然后先ping 看能否 ping通；再互相ping对方看能否ping 通。注：第一小组的ip 地址是00等 ，然后ping 第二小组 ip地址是 00等 然后 ping 后面小组依次类推，如是第x小组，ip就是 192.168.x.100。3 通过以上的ping通的结果，可以得出什么结论？正常情况下，都不能ping通本组交换机的地址 （各组交换机ip 不同），而双方是可以相互ping通的。因为第1和第2端口不属于vlan1而在其他vlan了，将不转发vlan1的数据，就不能ping通交换机的ip （交换机的ip默认是设置在vlan 1 中的）。第1和第2端口都被放在了vlan 10中，是属于同一vlan，数据在相同vlan中可以转发，能够ping 通。 4用网线将两台电脑分别连接在交换机的第 11第12端口上，然后先ping 看能否 ping通；再互相ping对方看能否ping 通。 5用网线将两台电脑分别连接在交换机的第 15第16端口上，然后先ping 看能否 ping通；再互相ping对方看能否ping 通。 6用网线将两台电脑分别连接在交换机的第 1第11端口上，然后先ping 看能否 ping通；再互相ping对方看能否ping 通。7用网线将两台电脑分别连接在交换机的第 12第16端口上，然后先ping 看能否 ping通；再互相ping对方看能否ping 通。思考一下：根据以上的实验结果，总结一下vlan和trunk的工作特点【注意事项】1、交换机所有的端口在默认情况下属于ACCESS端口，可直接将端口加入某一VLAN。利用switchport mode access/trunk命令可以更改端口的VLAN模式。2、VLAN1属于系统的默认VLAN，不可以被删除3、删除某个VLAN，使用no命令。例如：switch(config)#no vlan 104、删除当前某个VLAN时，注意先将属于该VLAN的端口加入别的VLAN，再删除VLAN。5、Trunk接口在默认情况下支持所有VLAN的传输。实验3.2 【实验步骤】标准ACL 的配置作此实验前，请重启交换机！第一步：建立标准ACL 规则表Swtich(config)#ip access-list standard test /指明要建立名称为test的标准ACL Swtich(config-std-nACL)#deny host 00 / ACL 的动作是 拒绝ip地址00作为源地址的所有通讯（第二小组ip地址是00，后面的小组依次类推）Swtich(config-std-nACL)#permit any # ACL 中除了上一条是deny，其他的都允许通过（此条必须加上，因为所有ACL默认是禁止所有，即：不在ACL中写任何语句的话，它也是禁止所有通讯）Swtich(config-std-nACL)#end第二步 将ACL 应用在端口上Swtich(config)# int fa 0/1 #进入到端口 1 的配置模式Swtich(config-if)# ip access-group test in #在端口1 上应用ACL策略Swtich(config-if)#description new ACL #注释说明在此vlan有ACL Swtich#show run #查看生效的配置结果验证：将另一台电脑ip 设置为 00 ，（注意小组不同，ip也不同） 用网线接在交换机上的第1端口，然后ping （注意小组不同，ip也不同）看能否ping 通。结果应该是ping不通的，因为在vlan 1 加上了ACL策略，禁止00 的ip作为源地址的通讯。 第三步 取消端口的ACLSwtich(config)#int fa 0/1Swtich(config-if)# no ip access-group test inSwtich(config-if)#endSwtich#验证：将另一台电脑ip 设置为 00 （注意小组不同，ip也不同）， 用网线接在交换机上的第1端口，然后ping （注意小组不同，ip也不同）看能否ping 通。*另一种验证方法*：将另一台电脑ip 设置为 00 ，（注意小组不同，ip也不同） 用网线接在交换机上的第1端口，然后在这台电脑上开启 everything 程序，再将程序中的http 服务打开 （勾选 start HTTP server）。在两种情况下（端口1上开启和关闭ACL）分别用电脑上的IE访问 00（注意小组不同，ip也不同），看是否能访问通。实验 3.3 扩展ACL的配置作此实验前，请重启交换机！Swtich(config)#ip access-list extended testx /指明要建立名称为testx的扩展ACL Swtich(config-ext-nACL)# deny ip host 00 any #指明对于源地址是00的ip协议都要禁止（注意小组不同，ip也不同）Swtich(config-ext-nACL)#permit ip any any /除上条规则外，其他全都通过Swtich(config-ext-nACL)endSwtich#conf tSwtich(config-if)int fa 0/5 /要在端口5 进行配置Swtich(config-if)ip access-group testx in /在端口5应用已经设置好的ACL textxSwtich(config-if)end验证：将一台电脑ip 设置为 00 （注意小组不同，ip也不同）， 用网线接在交换机上的第5端口；另一台电脑ip设置为 连在交换机上第10口。然后用00的电脑ping （注意小组不同，ip也不同）看能否ping 通。注1：结果应该是ping不通的，但和上面常规ACL不同的是，这次扩展ACL禁止的不是ip地址，而是针对源ip的ip协议禁止了，对于目的地址是特定地址的ip协议，在vlan 1 中都不进行通过。你也可以禁止其他协议，如udp ，tcp 。注2 ：扩展ACL的取消和标准是一样的，只是要指明是扩展的ACL （extended）。取消掉ACL后，再把上面的验证步骤进行一次，应该都能ping 通了。注3： 这个实验的验证也可以用 *另一种验证方法* 来进行实验 3.4 Mac ACL的配置作此实验前，请重启交换机！ 可以针对某台计算机的mac地址作ACL，来禁止或允许这台计算机访问网络。实验前，先找出本组中一台计算机的mac 地址，如mac为：0011.2222.3333Swtich(config)#mac access-list extended mm /建立以mm命名的mac ACLSwtich(config-ext-mACL)# deny host 0011.2222.3333 any / 对于源mac地址是0011.2222.3333的计算机不允许访问网络Swtich(config -ext-mACL)# permit any any / 其他计算机可以访问网络Swtich(config -ext-mACL)#endSwtich(config)# int fa 0/5 / 进入到端口5 的配置模式Swtich(config-if)# mac access-group mm in /此端口下应用mac ACLSwtich(config-if)#end验证：将mac为0011.2222.3333的电脑ip 设置为 00 （注意小组不同，ip也不同）， 用网线接在交换机上的第5端口，然后ping （注意小组不同，ip也不同）看能否ping 通。结论：ping不通，此接口下针对 源mac为 0011.2222.3333 电脑的所有通讯都被禁止了。可将端口上的ACL取消后，再验证下能否ping通。注： 这个实验的验证也可以用 *另一种验证方法* 来进行实验 3.5 ACL中时间的应用作此实验前，请重启交换机！在交换机上配置和应用ACL时，可以调用时间来定义 ACL 在特定的某些时间里生效或不生效。Swtich# clock set ？/ 根据此命令的提示，设置本交换机的时间和日期为当前的日期时间。俱体参数请自行用 ？ 学习使用Swtich#conf tSwtich(config)# time-range tt /建立名称为tt 的时间段Swtich(config-time-range)# periodic daily 8:00 to 20:00 /定义 tt 的时间段为早上8点到下午20：00Swtich(config-time-range)#exitSwtich(config)#ip acce