三层交换机配置ACL(访问控制列表).doc

三层交换机配置ACL（访问控制列表）说明：书本上讲述的ACL主要是应用在路由器上，但现在三层交换机在大中型企业中的应用越来越广泛，三层交换机因拥有路由器的功能而逐渐代替路由器。ACL访问控制列表是构建安全规范的网络不可缺少的，但在三层交换机上配置ACL却不为一些刚进企业的初级网络管理维护人员所知。在这里我介绍一下在三层交换机上配置ACL的试验过程。试验拓扑介绍：三层交换机上配置本地Vlan 实现下层接入层交换机不同Vlan互通。PC1 192.168.20.10 VLAN 192.168.20.1PC2 192.168.30.20 VLAN 192.168.30.1PC3 192.168.40.30 VLAN 192.168.40.1PC4 192.168.50.40 VLAN 192.168.50.1F0/1 192.168.70.2 （开启路由功能）路由器上配置F0/0 192.168.60.1 PC5 192.168.60.50F0/1 192.168.70.1 试验步骤：1、 在二层交换机上把相应的PC加入VLAN查看交换机Switch0Switch0(config)#show run！interface FastEthernet0/1 switchport access vlan 2!interface FastEthernet0/2 switchport access vlan 3!查看交换机Switch1Switch1#show run!interface FastEthernet0/3 switchport access vlan 4!interface FastEthernet0/4 switchport access vlan 5!2、 在三层交换机上配置相应的本地VALNSwitch(config)#inter vl 2Switch(config-if)#ip add 192.168.20.1 255.255.255.0Switch(config-if)#no shutSwitch(config)#inter vl 3Switch(config-if)#ip add 192.168.30.1 255.255.255.0Switch(config-if)#no shutSwitch(config)#inter vl 4Switch(config-if)#ip add 192.168.40.1 255.255.255.0Switch(config-if)#no shutSwitch(config)#inter vl 5Switch(config-if)#ip add 192.168.50.1 255.255.255.0Switch(config-if)#no shutSwitch(config-if)#exi在接口itnerface f0/1上开启路由接口Switch(config)#inter f0/1Switch(config-if)#no switchport3、 在二层交换机和三层交换机之间开启中继链路4、 在路由器和三层交换机上配置动态路由协议RIPRouter（config）#router ripRouter（config）#network 192.168.60.0Router（config）# network 192.168.70.0三层交换机上配置Switch(config)#router rip Switch(config-router)#neSwitch(config-router)#network 192.168.70.0Switch(config-router)#network 192.168.20.0Switch(config-router)#network 192.168.30.0Switch(config-router)#network 192.168.40.0Switch(config-router)#network 192.168.50.0Switch(config-router)#5、 验证各PC互通PCping 192.168.30.20Pinging 192.168.30.20 with 32 bytes of data:Request timed out.Reply from 192.168.30.20: bytes=32 time=110ms TTL=126Reply from 192.168.30.20: bytes=32 time=110ms TTL=126Reply from 192.168.30.20: bytes=32 time=125ms TTL=126Ping statistics for 192.168.30.20: Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),Approximate round trip times in milli-seconds: Minimum = 110ms, Maximum = 125ms, Average = 115msPCping 192.168.40.30Pinging 192.168.40.30 with 32 bytes of data:Reply from 192.168.40.30: bytes=32 time=94ms TTL=126Reply from 192.168.40.30: bytes=32 time=125ms TTL=126Reply from 192.168.40.30: bytes=32 time=125ms TTL=126Reply from 192.168.40.30: bytes=32 time=109ms TTL=126Ping statistics for 192.168.40.30: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 94ms, Maximum = 125ms, Average = 113ms6、 在三层交换机上配置ACL注意如果设置不同VALN的PC之间不能互通，则应用的接口应为VLAN对应的本地Llan接口。设置PC1不能ping通PC3和PC4Switch(config)#access-list 10 deny host 192.168.20.10应用于接口Switch(config)#inter vl 4Switch(config-if)#ip access-group 10 out Switch(config-if)#exiSwitch(config)#inter vl 5Switch(config-if)#ip access-group 10 out Switch(config-if)#或者是Switch(config)#inter vl 2Switch(config-if)#ip access-group 10 in Switch(config-if)#（注上：此处ACL应用于接口，从PC1到PC3 和PC4，数据流走向是经过三层交换机上配置的本地Vlan2接口进入，再从三层交换机上配置的本地Vlan4出去到达PC3，从本地Vlan5出去到达PC4。所以在配置ACL时应注意访问控制列表应用于哪儿接口？！）7、 验证：PC1不能ping通PC3和PC4PCping 192.168.50.40Pinging 192.168.50.40 with 32 bytes of data:Request timed out.Request timed out.Ping statistics for 192.168.50.40: Packets: Sent = 3, Received = 0, Lost = 3 (100% loss),Control-CCPCping 192.168.40.30Pinging 192.168.40.30 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.容易发生的错误分析：可能在学习的时候只是学习了如何在路由器上配置ACL，而不知道在三层交换机上也能配置ACL。或许有些同学在三层交换机上各接口开启路由接口模式，就把三层交换机当作路由器来配置，虽说三层交换机有路由器的功能，但是一些协议运用起来还是和路由器有差别的。就比如说这个试验在三层交换机的下连接口f0/5和f0/