网管程序员论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 2962|回复: 0

控制VLAN内和之间的流量

[复制链接]
发表于 2007-8-27 12:37:32 | 显示全部楼层 |阅读模式
基于IOS VACL的配置
  对于中小企业和校园网的用户来说,3750、3550和2950的交换机的数量相对较多,前面基于COS系统的VACL的配置并不具备普遍性。那么,我们将着重讲解基于IOS系统的交换机上VACL配置的方法。
配置不同的访问列表
1.基于编号的访问列表
  标准IP访问控制列表:一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的数据包采取“拒绝”或“允许”两个操作。编号范围为1~99的访问控制列表是标准IP访问控制列表。命令格式:
  router(config)#access-list [list number][permit | deny | remark][host/any][source address][wildcard-mask][log]
  list number表示编号范围:1~99;permit/deny用来表示满足访问表项的报文是允许通过接口,还是要过滤掉;source address源地址;host/any表示为主机匹配地址,host表示一种精确的匹配,其屏蔽码为0.0.0.0,any表示任何主机。
  扩展访问列表:扩展访问列表主要增加报文过滤能力,一个扩展的IP访问表允许用户根据内容过滤报文的源和目的地址的协议、端口以及特定报文字段。协议项定义了需要被过滤的协议,例如IP、TCP、UDP、ICMP等,协议选项是区别标准访问列表的特征之一。除此之外, 扩展的列表标号从100~199、2000~2699。语法如下:
  router(config)#access-list Access-List-Number [ permit | deny ] [ Protocol | Protocol-Number ] source source-wildcard [ Source-Port ] destination destination-wildcard [ Destination-Port ] [ established ]
2.基于名称的访问列表
  基于名称的访问列表遵守和编号IP访问控制列表一样的逻辑,名字可以更加容易地记住访问控制列表的功能,命名的列表允许使用超过99个标准控制列表和100个扩展控制列表。优于编号的控制列表的特点是可以删除特定的一条语句,而编号访问控制列表只能删除整个访问控制。语法如下:
  router(config)#ip access-list {standard | extended} name
  ip access-list {standard | extended} name表示要进入的name所指定的列表配置模式,所有的permit和deny操作都是进入到这个模式下进行配置的。
创建VLAN映射
VACL主要区别于标准ACL的作用方式,就是将已经创建好的ACL映射到一个VLAN上。创建映射分为三步:
  (global) vlan access-map name [number]
  (vlan-map) match ip address {aclname | aclnumber}
  (vlan-map) action {drop | forward}
  第一步vlan access-map后面的名字定义的时候最好有针对性或者提示性,而后续设置的子句都使用number选项。如果在这里进行了分组的设置,每一个子句都要经过匹配检测,直到没有发现匹配语句才丢弃分组。
  执行完第一步实际上是进入了访问映射的配置模式。match ip address后面的参数是您在前面配置ACL的名称或编号。
  第三步,交换机根据匹配ACL确定的匹配,action命令后面的参数才是代表流量是允许(forward)还是丢弃(drop)。
应用到交换机
之前的配置完成以后,最后需要用vlan filter命令把访问列表应用到交换机。格式如下:
  (global) vlan filter mapname vlan-list list
  Mapname参数对应的是vlan access-map命令创建的映射名称,list是vlan的序号。都配置完成以后可以利用show命令进行检查:
  show ip access-lists [number | name]
  show vlan access-map [mapname]
  show vlan filter [access-map name | vlan vlan-id]
  show ip interface type number


vlan access-map VACL_ForVlan4 4
action forward
match ip address eACL_ForVlan4
vlan access-map VACL_ForVlan6 6
action forward
match ip address eACL_ForVlan6
vlan access-map VACL_ForVlan8 8
action forward
match ip address eACL_ForVlan8
vlan access-map VACL_ForVlan10 10
action forward
match ip address eACL_ForVlan10
vlan filter VACL_ForVlan4 vlan-list 4
vlan filter VACL_ForVlan6 vlan-list 6
vlan filter VACL_ForVlan8 vlan-list 8
vlan filter VACL_ForVlan10 vlan-list 10
!
interface GigabitEthernet1/0/1
no ip address
mdix auto
!
interface GigabitEthernet1/0/2
no ip address
mdix auto
!
interface GigabitEthernet1/0/3
no ip address
mdix auto
!
interface GigabitEthernet1/0/4
no ip address
mdix auto
!
interface GigabitEthernet1/0/5
no ip address
mdix auto
!
interface GigabitEthernet1/0/6
no ip address
mdix auto
!
interface GigabitEthernet1/0/7
no ip address
mdix auto
!
interface GigabitEthernet1/0/8
no ip address
mdix auto
!
interface GigabitEthernet1/0/9
no ip address
mdix auto
!
interface GigabitEthernet1/0/10
no ip address
mdix auto
!
interface GigabitEthernet1/0/11
no ip address
mdix auto
!
interface GigabitEthernet1/0/12
no ip address
mdix auto
!
interface GigabitEthernet1/0/13
switchport trunk encapsulation dot1q
switchport mode trunk
no ip address
mdix auto
!
interface GigabitEthernet1/0/14
no ip address
mdix auto
!
interface GigabitEthernet1/0/15
no ip address
mdix auto
!
interface GigabitEthernet1/0/16
no ip address
mdix auto
!
interface GigabitEthernet1/0/17
switchport access vlan 8
no ip address
mdix auto
!
interface GigabitEthernet1/0/18
switchport access vlan 8
no ip address
mdix auto
!
interface GigabitEthernet1/0/19
switchport access vlan 8
no ip address
mdix auto
!
interface GigabitEthernet1/0/20
switchport access vlan 8
no ip address
mdix auto
!
interface GigabitEthernet1/0/21
switchport access vlan 8
no ip address
mdix auto
!
interface GigabitEthernet1/0/22
switchport access vlan 8
no ip address
mdix auto
!
interface GigabitEthernet1/0/23
switchport access vlan 8
no ip address
mdix auto
!
interface GigabitEthernet1/0/24
switchport access vlan 8
no ip address
mdix auto

!
interface Vlan1
ip address 192.168.0.9 255.255.255.0
!
interface Vlan4
ip address 192.168.4.1 255.255.255.0
!
interface Vlan6
ip address 192.168.6.1 255.255.255.0
!
interface Vlan8
ip address 192.168.8.1 255.255.255.0
!
interface Vlan10
ip address 192.168.10.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.0.122
ip http server
!
ip access-list extended eACL_ForVLAN6
deny ip 192.168.4.0 0.0.0.255 any
deny ip 192.168.8.0 0.0.0.255 any
deny ip 192.168.10.0 0.0.0.255 any
permit ip any any
ip access-list extended eACL_ForVlan10
deny ip 192.168.4.0 0.0.0.255 any
deny ip 192.168.6.0 0.0.0.255 any
deny ip 192.168.8.0 0.0.0.255 any
permit ip any any
ip access-list extended eACL_ForVlan4
deny ip 192.168.6.0 0.0.0.255 any
deny ip 192.168.8.0 0.0.0.255 any
deny ip 192.168.10.0 0.0.0.255 any
permit ip any any
ip access-list extended eACL_ForVlan8
deny ip 192.168.4.0 0.0.0.255 any
deny ip 192.168.6.0 0.0.0.255 any
deny ip 192.168.10.0 0.0.0.255 any
permit ip any any
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|最新更新|网管程序员社区 鄂ICP备11008024号-3

GMT+8, 2019-11-16 09:25 , Processed in 0.140401 second(s), 22 queries .

Powered by 网管论坛

© 2001-2018 www.027safe.com Inc.

快速回复 返回顶部 返回列表