交换机的标准访问控制
项目目标:
(1)了解IP标准访问控制列表的功能及用途
(2)掌握交换机IP标准访问控制列表配置技能
工作任务:
你是公司网络管理员,公司的技术部、业务部和财务部分属不同的3个网段,三个部门之间通过三层交换机进行信息传递,为了安全起见,公司要求你对网络的数据流量进行控制,实现技术部的主机可以访问财务部的主机,但是业务部的主机不能访问财务部的主机。
任务分析
首先对三层交换机进行基本配置,实现三个网段可以相互访问(前提),然后对三层交换机配置IP标准访问控制列表,允许技术部主机发出的数据包通过,不允许业务部主机发出的数据包通过,最后将这一策略加到三层交换的相应端口。
任务实施
网络拓扑图
第一步:在三层交换上创建3个vlan,并将3个vlan当成子接口配置IP地址
使用show ip interface brief检验创建的vlan
三个子接口分别给三个网段提供网关,由于是三层交换,要提供不同网段之间的通信,要打开三层交换的路由功能。
接下来,开始配置二层交换,在各个二层交换机上创建vlan,并将主机放入vlan
由于外部的主机发出的数据包都是跨交换机的,所以各个交换机之间的链路要配成干道,三层和二层互联的时候配置干道有两种方法,最简单的就是在二层交换机上面去配置,让三层交换机去学习,第二种方法就是在在三层交换机上去配置,但是要先把它的分装协议改成dot.1q。
开始配PC的IP地址,测试PC和网管的连通性。
然后在测试业务部、技术部与财务部之间主机的连同性。不再赘述。
第二步:配置ACL(在三层交换)
2.将创建的IP访问控制列表应用在三层交换的某个端口上面,因为数据包通过接口出入,所以要把这个策略加在某个接口上面。
测试
技术部继续可以访问财务部,但是业务部不可以访问财务部
上一篇:
Java架构师技术进阶路线图
下一篇:
网络安全中常见的攻击方式及防御方法