Cisco 网络配置方案
作者:wang 日期:2009-03-31
VLAN方案
几乎所有可网管交换机都支持VLAN的划分,不过,由于不同品牌交换机使用的操作系统不同,划分VLAN时使用的命令也有所不同。在这里,我们仅以Cisco系列交换机为例,介绍一下如何在交换机上创建 VLAN,以及如何实现位于不同交换机的同一VLAN之间的通讯。
1.VLAN创建策略
为了兼顾网络传输效率和网络安全,在配置VLAN时,应当遵循以下策略:
☆ 采用基于端口的VLAN划分方式。在各种类型的网络中,台式计算机占有相当大的比例,而且位置和用户相对固定,因此,采用基于端口的方式划分VLAN,规划、设置和管理都非常简单,同时,又拥有最大限度的安全性,确保网络管理员拥有对整个网络各项改动的最高权力。对于移动用户而言,一方面可以借助信息插座连接至以太网络,另一方面,也可以借助无线AP连接至无线网络,然而,无论采用哪种方式,都直接或间接地连接到交换机,因此,同样可以以端口方式将之划分至不同的VLAN。
☆以区域作为划分VLAN为基本策略。应当最大限度地减少中心交换机和网络骨干的网络传输量,要使大量数据的传输集中在VLAN内部,而使VLAN与网络骨干或中心交换机的通信数据流量尽可能地少,以充分提高网络的传输效率,减少不必要的网络流量,合理利用网络带宽。因此,应当以区域作为划分VLAN的基本策略,尽量避免设置跨交换机的VLAN,以减轻中心交换机的负担。
☆以部门功能或应用需求作为划分 VLAN的基础。每个部门既具有相对的独立性,同时又与其他某些部门有着千丝万缕的联系,所以,部门内部、相关部门之间的通信量相对较大。因此,只要是用户数量不是非常多(100个以下),就可以考虑将相关部门分配到一个VLAN之中。另外,还有一些部门的计算机拥有量非常多(如计算中心、图书馆等),或者对网络安全的要求比较高(如财务、研发、市场等),那么,可以将每个部门设置为一个VLAN。即使这些部门分散于各个不同位置,也可以借助中继技术,将它们划分至同一VLAN,消除地理位置上的距离感,确保各项业务和应用的进行。同时,VLAN内部相对封闭运行,有利于各专门子网的安全。
☆确保敏感部门的网络安全。对于一些敏感的部门,除了单独设置VLAN外,还应当设置允许访问该VLAN的列表,甚至在三层设备上绑定MAC地址和IP地址,以确保VLAN访问安全。
☆及时调整灵活配置VLAN。根据网络拓扑结构和用户的变化和需要,及时调整VLAN配置,通过增加、删除、修改VLAN,设置VLAN的访问权限,保证网络高效、安全、稳定运行。
2.配置VLAN
创建VLAN需要两个步骤,先是创建VLAN,然后再将相关接口指定至该VLAN。这与先将公司划分为若干部门,然后,再将所有员工一一分配至各部门非常相似。VLAN配置既可以直接在Console口完成,也可以以Telnet或超级终端通过远程管理实现。
●创建VLAN
默认状态下,VLAN1已经被创建,而且作为管理用VLAN,不可被删除和修改,用于实现对网络设备的管理。通常情况下,可创建的VLAN范围为2~1004。
第1步 进入全局配置模式。
Switch# configure terminal
第2步 键入VLAN ID,进入vlan-config模式。
以太网VLAN ID的取值范围为1~1001。其中,VLAN1为系统默认VLAN,不能被创建,也不能被删除。
Switch(config)# vlan vlan_id
第3步 (可选)为VLAN命名。如果不为VLAN命名,默认在VLAN ID前添加0作为VLAN名称。例
如,VLAN0004是VLAN4的默认命称。
Switch(config-vlan)# name vlan-name
第4步 返回特权配置模式。
Switch(config-vlan)# end
第5步 查看并检验VLAN配置。
Switch# show vlan [id | name] vlan_name
第6步 保存VLAN配置。如果交换机处于VTP透明模式,VLAN配置被保存在运行配置文件时,也
被保存至VLAN数据库。这里只是将当前配置保存至启动配置。
Switch# copy running-config startup-config
●将端口指定至VLAN
VLAN创建完成后,该VLAN还仅仅是一个空的容器。因此,接下来应当将相应的端口指定至该VLAN,使之成为该 VLAN的成员。
第1步 进入配置模式。
Switch# config terminal
第2步 指定欲配置的接口。
Switch(config)# interface interface-id
第3步 为端口(第二层访问端口)定义VLAN成员模式。
Switch(config-if)# switchport mode access
第4步 将接口添加至指定的VLAN。
Switch(config-if)# switchport access vlan vlan_id
第5步 退出接口配置模式。
Switch(config-if)# end
第6步 显示并校验该接口当前的配置。
Switch# show interface interface-id
第7步 保存VLAN配置。
Switch# copy running-config startup-config
需要注意的是,若欲将某个端口指定至其他VLAN时,无需将其从原来的端口删除,而只需执行
“switchport access vlan vlan_id”命令,直接将其指定至新的VLAN即可。
●清除接口配置
若欲将某个端口从VLAN中删除,可以将该接口恢复为默认值,即可清除该接口的所有配置,使之不再属于任何VLAN。
第1步 进入VLAN配置模式。
Switch# config terminal
第2步 清除某接口的所有配置。
Switch(config)# default interface interface-id
第3步 返回特权配置模式。
Switch(config)# end
第4步 保存对配置的修改。
Switch# copy running-config startup-config
●删除VLAN
若欲删除网络中已经设置的 VLAN,可以使用“no vlan vlan_id”命令。需要注意的是, 该VLAN一旦被删除,所有指定至VLAN的端口将不再可用,直到将其指定至新VLAN时止。
第1步 进入全局配置模式。
Switch# configure terminal
第2步 选择欲删除的VLAN。
Switch(config)# vlan vlan_id
第3步 删除指定的VLAN。
Switch(config-vlan)# no vlan vlan_id
第4步 更新VLAN数据库,并返回特权配置模式。
Switch(config-vlan)# end
第5步 校验VLAN的改变。
Switch(config-vlan)# show vlan brief
第6步 保存VLAN配置。
Switch# copy running-config startup-config
3.配置VLAN Trunk
当某台交换机同时被划分为两个或两个以上VLAN时,需要创建Trunk,使不同交换机之间的VLAN能够借助于一链路进行通讯,否则,VLAN将被限制在交换机内,无法与其他交换机进行通讯。默认状态下,第二层接口自动处于动态的Switchport模式,当相邻接口(即借助于双绞线或光纤连接在一起的两个端口)支持Trunk,并且配置为Trunk或动态匹配模式,该链接将作为Trunk。
●配置Trunk端口
第1步 进入全局配置模式。
Switch# configure terminal
第2步 指定欲配置的接口。
Switch(config)# interface interface-id
第3 步 将接口配置为第二层Trunk。只有接口是第二层访问接口,或指定Trunk模式时,才需要使用该命令。“dynamic auto”,如果相邻接口被设置为“trunk”或“desirable”模式,将该接口置为Trunk连接。“dynamic desirable”,如果相邻接口设置为“trunk”、“desirable”或“auto”模式,将该接口置为Trunk连接。“trunk”,将接口设置为永久Trunk模式,协商将连接转换为 Trunk 连接,即使相邻接口不是Trunk接口。Switch(config-if)# switchport mode {dynamic{auto | desirable} | trunk}
第 4 步 (可选)指定默认 VLAN,即当 Trunk停止后,将使用哪一个 VLAN。既可指定某一个VALN,也可以指定一个VLAN范围。访问VLAN不能作为本地VLAN使用。
Switch(config-if)# switchport access vlan vlan_id
第5步 为802.1Q Trunk指定本地VLAN。不指定本地VLAN,默认将使用VLAN1。
Switch(config-if)# switchport trunk native vlan vlan_id
第6步 返回至特权配置模式。
Switch(config-if)# end
第7步 查看并校验配置。
Switch# show interface interface-id switchport
Switch# show interfaces interface-id trunk
第8步 保存VLAN配置。
Switch# copy running-config startup-config
若欲将接口恢复至默认值,可以使用“default interface interface-id”接口配置命令。若欲将Trunk接口中的所有特征恢复为默认值,可以使用“no switchport trunk”接口配置命令。若欲禁用 Trunk,可以使用“switchport mode access”接口配置命令,端口将作为一个静态访问端口。
●定义Trunk允许的VLAN
默认状态下,Trunk端口允许所有VLAN的发送和接口传输。当然,根据需要,我们也可以将拒绝某些VLAN通过Trunk传输,从而将该VLAN限制与其他交换机的通讯,或者拒绝某些VLAN对敏感数据的访问。需要注意的是,不能从 Trunk 中移除默认的VLAN1。
第1步 进入全局配置模式。
Switch# configure terminal
第2步 指定欲配置的接口。
Switch(config)# interface interface-id
第3步 将接口配置为VLAN Trunk端口。
Switch(config-if)# switchport mode trunk
第4 步 (可选)配置Trunk上允许的VLAN列表。使用 add(添加)、all(所有)、except(除外)和remove(移除)关键字,可以定义允许在Trunk上传输的VLAN。VLAN列表既可以是一个VLAN,也可以是一个VLAN组。当同时指定若干VLAN时,不要在“,”或“-”间使用空格。
Switch(config-if)# switchport trunk allowed vlan {add | all | except | remove} vlan-list
第5步 返回至特权配置模式。
Switch(config-if)# end
第6步 查看并校验配置。
Switch# show interfaces interface-id switchport
第7步 保存VLAN配置。
Switch# copy running-config startup-config
若欲允许所有VLAN都通过该Trunk,可以使用“no switchport trunk allowed vlan”接口配置命令。
●配置本地VLAN的非标签传输
802.1Q Trunk端口能够接收标签和非标签传输。默认状态下,在本地VLAN中,交换机端口转发非标签传输。本地VLAN默认为VLAN1。
第1步 进入全局配置模式。
Switch# configure terminal
第2步 指定欲配置的接口。
Switch(config)# interface interface-id
第3步 在Trunk端口上,配置指定的VLAN接
收和发送非标签传输。
Switch(config-if)# switchport trunk native vlan vlan-id
第4步 返回至特权配置模式。
Switch(config-if)# end
第5步 查看并校验配置。
Switch# show interfaces interface-id switchport
第6步 保存VLAN配置。
Switch# copy running-config startup-config
若欲允许恢复默认本地 VLAN,可以使用“no switchport trunk native vlan”接口配置命令。
4.实现VLAN之间的通讯
借助 Cisco IOS IP和 IP路由协议,Cisco Cata-lyst 4000/4500/6500系列交换机支持三层接口,用于实现企业内部网络内各逻辑网络之间的数据交换。逻辑三层VLAN接口整合了路由和桥接功能,用于实现VLAN之间的线速路由。需要注意的是,应当为每个VLAN都配置IP地址信息,否则,将无法实现与其他VLAN的通讯。
第1步 进入全局配置模式。
Switch# configure terminal
第2步 指定欲配置的VLAN。
Switch(config)# vlan vlan_id
第3步 为该VLAN指定IP地址信息。该VLAN
中的计算机,将使用该IP地址作为默认网关。
Switch(config-if)# ip address ip_address subnet_mask
第4步 启用该逻辑三层接口。
Switch(config-if)# no shutdown
第5步 退出配置模式。
Switch(config-if)# end
第6步 将配置保存至NVRAM。
Switch# copy running-config startup-config
第7步 校验配置。
Switch# show interfaces [type slot/interface]
Switch# show ip interfaces [type slot/interface]
Switch# show running-config interfaces [type slot/interface]
Switch# show running-config interfaces vlan vlan_ID
带宽倍增方案
EtherChannel 技术是Cisco开发的,应用于交换机之间、交换机和路由器之间以及交换机和服务器之间的多链路技术(符合标准 IEEE802.p)。使用 Fast EtherChannel和Gigbit EtherChannel技术,可以通过2条或4条链路,将2个或4个10/100Mbps或1000Mbps端口连接在一起,叠加其传输带宽,从而实现高达400Mbps(10/100Mbps端口)、4Gbps(1000Mbps端口)的带宽,使网络设备之间通讯更加快速与顺畅。
1.EtherChannel简介
对于10/100Mbps端口而言,EtherChannel无疑是一种廉价的千兆以太网解决方案;对于1000Mbps端口而言, EtherChannel则成倍地增加了网络带宽,消除了交换机之间由于级联而产生的瓶颈,更能满足交换机之间以及交换机与服务器之间的大量数据交换。除此之外,EtherChannel还具有负载分担和线路备份的作用。所谓负载分担,是指当交换机之间或交换机与服务器之间在进行通讯时, EtherChannel的所有链路将同时参与数据的传输,从而使所有的传输任务都能在极短的时间完成,线路占用的时间更短,网络传输的效率更高。所谓线路备份,是指当部分EtherChannel链路出现故障时,并不会导致连接的中断,其他链路将能够不受影响地正常工作,从而增强了网络的稳定性和安全性。
使用端口聚合协议(PAgP,Port AggregationProtocol),可以很容易地在有EtherChannel能力的端口间,自动建立 Fast EtherChannel 和 GigabitEtherChannel连接,进行信息的交流。该协议具有学习相邻端口组动态和信息的能力。P A gP 是EtherChannel的增强版,它支持在 EtherChannel上的Spanning Tree 和 Uplink Fast 功能,并支持自动配置EtherChannel的捆绑。Uplink Fast也是Cisco交换机技术,能够保证交换机在几秒钟内快速从失败中恢复。
链路汇聚控制协议(LACP,Link AggregationControl Protocol)让用户可以利用符合IEEE 802.3ad的设备创建以太网通道。这种功能类似于思科EtherChannel技术和PAgP。在建立端口组时,遵循下列限制性规定:
☆快速以太网端口和千兆以太网端口不能被添加至同一端口组。
☆端口组成员不能被配置为Switched Port Ana-lyzer (SPAN)端口监视。
☆端口组成员不能被启用端口安全。
☆在一个交换机上最多可建立12个端口组。Source-Based端口组最多可拥有8个端口,Destina-tion-Based端口组可拥有任意数量端口,并且不能建立由source-Based端口和destination-Based端口组成的混合端口组。
☆端口组成员必须具有相同的VLAN设置,并且必须全部为静态端口、多VLAN端口和中继端口。
☆静态访问端口不能和其他端口聚合在一起,甚至也不能和其他动态访问端口聚合在一起。
2.配置EtherChannel
使用 PAgP 或 LACP 协议,可以很容易地在有EtherChannel能力的端口间自动建立Fast EtherChannel和Gigabit EtherChannel连接,进行信息的交流。该协议具有学习相邻端口组动态和信息的能力。PAgP是EtherChannel的增强版,它支持在 EtherChannel上的Spanning Tree和Uplink Fast功能,并支持自动配置
EtherChannel的捆绑。Uplink Fast也是Cisco交换机技术,能够保证交换机在几秒钟内快速从失败中恢复。
第1步 进入配置模式。
Switch# configure terminal
第2步 选择欲配置的物理接口。
Switch(config)# interface interface-id
第3 步 将接口指定至Channel组,并指定PAgP模式。默认模式为“auto silent”。“channel-group-number”用于指定欲创建的EtherChannel号,可取值范围为1~6,每个 EtherChannel最多可以容纳8个适合的以太网接口。指定端口的PAgP模式。“active”,当侦测到LACP设备时,将只启用LACP。激活接口的主动协商状态,通过发送 LACP 包,与其他接口进行主动协商。“auto”,当侦测到PAgP设备时,将只启用PAgP。将端口置于被动协商状态,可以对接收到的PAgP作出响应,但是,不能主动发送 PAgP 包进行协商。
“desirable”,无条件启用PAgP将接口置于主动协商状态,通过发送PAgP包,主动与其他接口进行协商。
“on”,将接口强行指定至Channel。只有两个on模式接口组连接时,EtherChannel才可用。“non-silent”,
如果交换机连接到有PAgP能力的伙伴,可以将接口配置为non silent(非沉默)运行。如果没有为“auto”
或“desirable” 模式指定“non-silent”关键字,默认为“silent”。沉默设置被用于连接到文件服务器或包分析仪。该设置允许PAgP将接口添加至 Channel组,并使用接口进行传输。“passive”,当侦测到LACP设备时,将只启用LACP。将端口置于被动协商状态,可以对接收到的 LACP作出响应,但是,不能主动发送LACP包进行协商。
采用 PAgP 协议时,以下几种模式可以构建EtherChannel:
☆一个接口为“desirable”模式,另一个接口为“desirable”或“auto”模式。
☆一个接口为“auto”模式,另一个接口为“desirable”模式。
采用 LACP 协议时,以下几种模式可以构建EtherChannel:
☆一个接口为“active”模式,另一个接口为“active”或“passive”模式。
☆一个接口为“active”模式,另一个接口为“passive”模式。
Switch(config-if)# channel-groupport_channel_number mode {{auto [non-silent] | de-sirable [non-silent] | on} | {active | passive}}
第4步 退出配置模式。
Switch(config-if)# end
第5步 校验配置。
Switch# show running-config
第6步 保存配置。
Switch# copy running-config startup-config
3.配置EtherChannel负载均衡
EtherChannel 还具有负载分担和线路备份的作用。所谓负载分担,是指当交换机之间或交换机与服务器之间在进行通讯时,EtherChannel的所有链路将同时参与数据的传输,从而使所有的传输任务都能在极短的时间完成,线路占用的时间更短,网络传输的效率更高。所谓线路备份,是指当部分EtherChannel链路出现故障时,并不会导致连接的中断,其他链路将能够不受影响地正常工作,从而增强了网络的稳定性和安全性。
第1步 进入配置模式。
Switch# configure terminal
第2步 配置Etherchannel负载均衡。
Switch(config)#port-channelload-balance{dst-mac | -mac}
其中,dst-mac,基于进入包的目的主机的MAC地址进行负载分配。在EtherChannel中,发送至同一目的主机的包被转发至相同端口,不同目的主机的包被发送至不同的端口。-mac,基于进入包的源 MAC 地址进行负载分配。在EtherChannel中,来自不同主机的包,使用不同的端口;来自于同一主机,则使用同一端口。
第3步 退出配置模式。
Switch(config-if)# end
第4步 校验配置。
Switch# show etherchannel load-balance
第5步 保存配置。
Switch# copy running-config startup-config
4.移除端口和EtherChannel
● 从EtherChannel中移除接口
第1步 进入配置模式。
Switch# configure terminal
第2步 指定欲配置的物理接口。
Switch(config)# interface interface-id
第3步 从EtherChannel中移除接口。
Switch(config-if)# no channel-group
第4步 退出配置模式。
Switch(config-if)# end
第5步 校验配置。
Switch# show running-config
第6步 保存配置。
Switch# copy running-config startup-config
● 移除EtherChannel
第1步 进入配置模式。
Switch# configure terminal
第2步 移除Channel接口。
Switch(config)# no interface port-channel port_channel_number
第3步 退出配置模式。
Switch(config-if)# end
第4步 校验配置。
Switch# show etherchannel summary
第5步 保存配置。
Switch# copy running-config startup-config
访问列表方案
访问控制列表(ACL,Access Control List)是Cisco IOS提供的一种访问控制技术,被广泛应用于路由器和三层交换机。借助ACL,可以有效地控制用户对网络和Internet的访问,从而最大限度地保障网络安全,并使得企业网络不被滥用。
1.认识访问列表
ACL 使用包过滤技术,在路由器上读取第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。不过,由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到“端到端”的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
● 交换机支持的访问列表
交换机支持IP访问列表和Ethernet(MAC)访问列表。
☆ IP 访问列表。过滤 IP 通信,包括 TCP、User Datagram Protocol (UDP)、Internet Group Manage-ment Protocol (IGMP)和 Internet Control MessageProtocol (ICMP)。
☆Ethernet访问列表。过滤非IP通信。交换机支持三种访问列表的应用过滤传输:
☆端口访问列表。也称MAC访问列表。对进入二层接口的通信实施访问控制。交换机不支持外出访问的访问列表。在二层接口可以应用IP访问列表和端口访问列表。
☆路由访问列表。对VLAN之间以及三层接口之间的通信实施访问控制,并且可以控制进、出双向通信。
☆VLAN访问列表。也称VLAN映射,对所有包实现访问控制。在同一VLAN的设备之间,可以采用
VLAN ACL实施访问控制。VLAN访问列表的配置与访问控制均基于IP地址,不支持基于MAC地址的访
问控制。可以在同一交换机上实施端口访问列表、路由访问列表和VLAN访问列表。不过,端口访问列表优先于路由访问列表和VLAN访问列表。
● 访问列表的类型
Cisco支持三种类型的访问列表,即标准IP访问列表、扩展IP访问列表和命名访问控制列表。
☆标准IP访问控制列表
标准访问列表只允许过滤源地址,且功能十分有限。当我们要想阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP 地址的所有通信流量通过路由器的出口。
☆扩展IP访问控制列表
扩展访问列表允许过滤源地址、目的地址和上层应用数据,因此,可以适应各种复杂的网络应用。扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。
☆命名访问控制列表
在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样,可以在使用过程中方便地进行修改。
● 配置访问列表应当注意的问题
在设置访问列表时,应当遵循最小特权原则,即只给受控对象完成任务所必须的最小的权限,从而最大限度地保障网络传输安全。
☆ 自上而下的处理过程访问列表包含一个访问控制条目(ACE,AccessControl entry)规则列表。每个ACE都指定“permit”(允许)或“deny”(拒绝),以及应用条件,包会逐个条目顺序匹配ACE。访问列表表项的检测按自上而下的顺序进行,并且从第一个表项开始。这意味着必须特别谨慎地考虑访问列表中语句的顺序。
☆添加表项
新增加的表项被追加到访问列表末尾,这就意味着不能改变已有的访问列表的功能。如果要改变,就必须创建一个新的访问列表,并删除已经存在的访问列表,并且将新的访问列表应用于接口上。
☆标准访问列表过滤
标准访问列表只限于过滤源地址,所以,需要使用扩展的IP访问列表来满足企业的特殊需求。
☆访问列表位置
应当将扩展访问列表尽量放在靠近过滤源的位置上,这样,创建的过滤器就不会反过来影响其他接口上的数据流。而标准访问列表则应当尽量靠近目的地位置。由于标准访问列表只使用源地址,因此,将阻止报文流向其他端口。
☆语句的位置
由于 IP协议包含 ICMP、TCP和 UDP,所以,应当将具体的表项放在不太具体的表项前面,以保证
位于另一个语句前面的语句不会否定表中后面语句的作用效果。
☆访问列表应用
使用Access-group命令应用访问列表。需要注意的是,只有访问列表被应用于接口上时,才执行过滤操作,从而真正产生作用。
☆过滤方向
通过接口的数据流是双向的。过滤方向定义了欲检查的是流入还是流出的报文。所以,访问列表要应用到接口的特定方向上。向外的(outbound),表示数据流从三层设备流出;向内的(inbound),表示数据流流向三层设备。
● 访问列表配置步骤
☆分析需求,找清楚需求中要保护什么或控制什么;为方便配置,最好能以表格形式列出。
☆分析符合条件的数据流的路径,寻找一个最适合进行控制的位置。
☆编写ACL,并将ACL应用到接口上。☆测试并修改ACL。
2.创建并应用IP访问列表
● 创建标准访问列表
第1步 进入全局配置模式。
Switch# configure terminal
第2步 使用源地址或通配符定义标准IP访问
列表。
Switch(config)# access-list access-list-number{deny | permit} source [source-wildcard]
access-list-number ACL号。ACL号相同的所有ACL形成一个组。在判断一个包时,使用同一组中的条目从上到下逐一进行判断,遇到满足的条目就终止对该包的判断。1 ~ 99或1300 ~1999为标准的IPAC号。
deny | permit 当条件匹配时,是允许包通过,还是将包丢弃。
Source 源地址。发送包的网络或主机地址,使用点分十分进表示。当表示一组主机时,使用通配符屏蔽码。
source-wildcard 通配符屏蔽码。Cisco访问列表所支持的通配符屏蔽码与子网掩码的方式是相反的。也就是说,二进制“0”表示一个匹配条件,“1”表示一个不关心条件。
Any 表示任何主机。源地址和源通配符0.0.0.0 255.255.255.255的缩写。例如,若欲拒绝从源地址192168.1.100发出的报文,并且允许发自其他源地址的报文,应当使用下述语句:
Access-list 1 deny host 192.168.1.100
Access-list 1 permit any
需要注意这两条语句的顺序。访问列表语句的处理是由上至下的。如果将两个语句顺序颠倒,将Permit语句放在Deny语句前面,则不能过滤来自主机的报文,因为Permit语句将允许所有报文通过。访问列表中的语句顺序非常重要,不合理的语句顺序将会在网络中产生安全漏洞,或者使得用户不能很好地利用公司的网络策略。
Host 表示一台主机,是源和源通配符0.0.0.0的缩写。例如,若欲允许从192.168.1.200发出的报文,则应当使用下述语句:
Access-list 1 permit 192.168.1.200 0.0.0.0
上述语句也可以使用下面的语句代替:
Access-list 1 permit host 192.168.1.200
第3步 返回特权配置模式。
Switch(config)# end
第4步 校验当前设置。
Switch# show access-lists number
第5步 保存当前配置。
Switch# copy running-config startup-config
使用“no access-list access-list-number”全局配置命令,可以删除全部访问列表。需要注意的是,不能从指定的访问列表中删除某个ACE。
● 创建扩展访问列表
标准IP访问列表只能控制源IP地址,不能控制目的IP
几乎所有可网管交换机都支持VLAN的划分,不过,由于不同品牌交换机使用的操作系统不同,划分VLAN时使用的命令也有所不同。在这里,我们仅以Cisco系列交换机为例,介绍一下如何在交换机上创建 VLAN,以及如何实现位于不同交换机的同一VLAN之间的通讯。
1.VLAN创建策略
为了兼顾网络传输效率和网络安全,在配置VLAN时,应当遵循以下策略:
☆ 采用基于端口的VLAN划分方式。在各种类型的网络中,台式计算机占有相当大的比例,而且位置和用户相对固定,因此,采用基于端口的方式划分VLAN,规划、设置和管理都非常简单,同时,又拥有最大限度的安全性,确保网络管理员拥有对整个网络各项改动的最高权力。对于移动用户而言,一方面可以借助信息插座连接至以太网络,另一方面,也可以借助无线AP连接至无线网络,然而,无论采用哪种方式,都直接或间接地连接到交换机,因此,同样可以以端口方式将之划分至不同的VLAN。
☆以区域作为划分VLAN为基本策略。应当最大限度地减少中心交换机和网络骨干的网络传输量,要使大量数据的传输集中在VLAN内部,而使VLAN与网络骨干或中心交换机的通信数据流量尽可能地少,以充分提高网络的传输效率,减少不必要的网络流量,合理利用网络带宽。因此,应当以区域作为划分VLAN的基本策略,尽量避免设置跨交换机的VLAN,以减轻中心交换机的负担。
☆以部门功能或应用需求作为划分 VLAN的基础。每个部门既具有相对的独立性,同时又与其他某些部门有着千丝万缕的联系,所以,部门内部、相关部门之间的通信量相对较大。因此,只要是用户数量不是非常多(100个以下),就可以考虑将相关部门分配到一个VLAN之中。另外,还有一些部门的计算机拥有量非常多(如计算中心、图书馆等),或者对网络安全的要求比较高(如财务、研发、市场等),那么,可以将每个部门设置为一个VLAN。即使这些部门分散于各个不同位置,也可以借助中继技术,将它们划分至同一VLAN,消除地理位置上的距离感,确保各项业务和应用的进行。同时,VLAN内部相对封闭运行,有利于各专门子网的安全。
☆确保敏感部门的网络安全。对于一些敏感的部门,除了单独设置VLAN外,还应当设置允许访问该VLAN的列表,甚至在三层设备上绑定MAC地址和IP地址,以确保VLAN访问安全。
☆及时调整灵活配置VLAN。根据网络拓扑结构和用户的变化和需要,及时调整VLAN配置,通过增加、删除、修改VLAN,设置VLAN的访问权限,保证网络高效、安全、稳定运行。
2.配置VLAN
创建VLAN需要两个步骤,先是创建VLAN,然后再将相关接口指定至该VLAN。这与先将公司划分为若干部门,然后,再将所有员工一一分配至各部门非常相似。VLAN配置既可以直接在Console口完成,也可以以Telnet或超级终端通过远程管理实现。
●创建VLAN
默认状态下,VLAN1已经被创建,而且作为管理用VLAN,不可被删除和修改,用于实现对网络设备的管理。通常情况下,可创建的VLAN范围为2~1004。
第1步 进入全局配置模式。
Switch# configure terminal
第2步 键入VLAN ID,进入vlan-config模式。
以太网VLAN ID的取值范围为1~1001。其中,VLAN1为系统默认VLAN,不能被创建,也不能被删除。
Switch(config)# vlan vlan_id
第3步 (可选)为VLAN命名。如果不为VLAN命名,默认在VLAN ID前添加0作为VLAN名称。例
如,VLAN0004是VLAN4的默认命称。
Switch(config-vlan)# name vlan-name
第4步 返回特权配置模式。
Switch(config-vlan)# end
第5步 查看并检验VLAN配置。
Switch# show vlan [id | name] vlan_name
第6步 保存VLAN配置。如果交换机处于VTP透明模式,VLAN配置被保存在运行配置文件时,也
被保存至VLAN数据库。这里只是将当前配置保存至启动配置。
Switch# copy running-config startup-config
●将端口指定至VLAN
VLAN创建完成后,该VLAN还仅仅是一个空的容器。因此,接下来应当将相应的端口指定至该VLAN,使之成为该 VLAN的成员。
第1步 进入配置模式。
Switch# config terminal
第2步 指定欲配置的接口。
Switch(config)# interface interface-id
第3步 为端口(第二层访问端口)定义VLAN成员模式。
Switch(config-if)# switchport mode access
第4步 将接口添加至指定的VLAN。
Switch(config-if)# switchport access vlan vlan_id
第5步 退出接口配置模式。
Switch(config-if)# end
第6步 显示并校验该接口当前的配置。
Switch# show interface interface-id
第7步 保存VLAN配置。
Switch# copy running-config startup-config
需要注意的是,若欲将某个端口指定至其他VLAN时,无需将其从原来的端口删除,而只需执行
“switchport access vlan vlan_id”命令,直接将其指定至新的VLAN即可。
●清除接口配置
若欲将某个端口从VLAN中删除,可以将该接口恢复为默认值,即可清除该接口的所有配置,使之不再属于任何VLAN。
第1步 进入VLAN配置模式。
Switch# config terminal
第2步 清除某接口的所有配置。
Switch(config)# default interface interface-id
第3步 返回特权配置模式。
Switch(config)# end
第4步 保存对配置的修改。
Switch# copy running-config startup-config
●删除VLAN
若欲删除网络中已经设置的 VLAN,可以使用“no vlan vlan_id”命令。需要注意的是, 该VLAN一旦被删除,所有指定至VLAN的端口将不再可用,直到将其指定至新VLAN时止。
第1步 进入全局配置模式。
Switch# configure terminal
第2步 选择欲删除的VLAN。
Switch(config)# vlan vlan_id
第3步 删除指定的VLAN。
Switch(config-vlan)# no vlan vlan_id
第4步 更新VLAN数据库,并返回特权配置模式。
Switch(config-vlan)# end
第5步 校验VLAN的改变。
Switch(config-vlan)# show vlan brief
第6步 保存VLAN配置。
Switch# copy running-config startup-config
3.配置VLAN Trunk
当某台交换机同时被划分为两个或两个以上VLAN时,需要创建Trunk,使不同交换机之间的VLAN能够借助于一链路进行通讯,否则,VLAN将被限制在交换机内,无法与其他交换机进行通讯。默认状态下,第二层接口自动处于动态的Switchport模式,当相邻接口(即借助于双绞线或光纤连接在一起的两个端口)支持Trunk,并且配置为Trunk或动态匹配模式,该链接将作为Trunk。
●配置Trunk端口
第1步 进入全局配置模式。
Switch# configure terminal
第2步 指定欲配置的接口。
Switch(config)# interface interface-id
第3 步 将接口配置为第二层Trunk。只有接口是第二层访问接口,或指定Trunk模式时,才需要使用该命令。“dynamic auto”,如果相邻接口被设置为“trunk”或“desirable”模式,将该接口置为Trunk连接。“dynamic desirable”,如果相邻接口设置为“trunk”、“desirable”或“auto”模式,将该接口置为Trunk连接。“trunk”,将接口设置为永久Trunk模式,协商将连接转换为 Trunk 连接,即使相邻接口不是Trunk接口。Switch(config-if)# switchport mode {dynamic{auto | desirable} | trunk}
第 4 步 (可选)指定默认 VLAN,即当 Trunk停止后,将使用哪一个 VLAN。既可指定某一个VALN,也可以指定一个VLAN范围。访问VLAN不能作为本地VLAN使用。
Switch(config-if)# switchport access vlan vlan_id
第5步 为802.1Q Trunk指定本地VLAN。不指定本地VLAN,默认将使用VLAN1。
Switch(config-if)# switchport trunk native vlan vlan_id
第6步 返回至特权配置模式。
Switch(config-if)# end
第7步 查看并校验配置。
Switch# show interface interface-id switchport
Switch# show interfaces interface-id trunk
第8步 保存VLAN配置。
Switch# copy running-config startup-config
若欲将接口恢复至默认值,可以使用“default interface interface-id”接口配置命令。若欲将Trunk接口中的所有特征恢复为默认值,可以使用“no switchport trunk”接口配置命令。若欲禁用 Trunk,可以使用“switchport mode access”接口配置命令,端口将作为一个静态访问端口。
●定义Trunk允许的VLAN
默认状态下,Trunk端口允许所有VLAN的发送和接口传输。当然,根据需要,我们也可以将拒绝某些VLAN通过Trunk传输,从而将该VLAN限制与其他交换机的通讯,或者拒绝某些VLAN对敏感数据的访问。需要注意的是,不能从 Trunk 中移除默认的VLAN1。
第1步 进入全局配置模式。
Switch# configure terminal
第2步 指定欲配置的接口。
Switch(config)# interface interface-id
第3步 将接口配置为VLAN Trunk端口。
Switch(config-if)# switchport mode trunk
第4 步 (可选)配置Trunk上允许的VLAN列表。使用 add(添加)、all(所有)、except(除外)和remove(移除)关键字,可以定义允许在Trunk上传输的VLAN。VLAN列表既可以是一个VLAN,也可以是一个VLAN组。当同时指定若干VLAN时,不要在“,”或“-”间使用空格。
Switch(config-if)# switchport trunk allowed vlan {add | all | except | remove} vlan-list
第5步 返回至特权配置模式。
Switch(config-if)# end
第6步 查看并校验配置。
Switch# show interfaces interface-id switchport
第7步 保存VLAN配置。
Switch# copy running-config startup-config
若欲允许所有VLAN都通过该Trunk,可以使用“no switchport trunk allowed vlan”接口配置命令。
●配置本地VLAN的非标签传输
802.1Q Trunk端口能够接收标签和非标签传输。默认状态下,在本地VLAN中,交换机端口转发非标签传输。本地VLAN默认为VLAN1。
第1步 进入全局配置模式。
Switch# configure terminal
第2步 指定欲配置的接口。
Switch(config)# interface interface-id
第3步 在Trunk端口上,配置指定的VLAN接
收和发送非标签传输。
Switch(config-if)# switchport trunk native vlan vlan-id
第4步 返回至特权配置模式。
Switch(config-if)# end
第5步 查看并校验配置。
Switch# show interfaces interface-id switchport
第6步 保存VLAN配置。
Switch# copy running-config startup-config
若欲允许恢复默认本地 VLAN,可以使用“no switchport trunk native vlan”接口配置命令。
4.实现VLAN之间的通讯
借助 Cisco IOS IP和 IP路由协议,Cisco Cata-lyst 4000/4500/6500系列交换机支持三层接口,用于实现企业内部网络内各逻辑网络之间的数据交换。逻辑三层VLAN接口整合了路由和桥接功能,用于实现VLAN之间的线速路由。需要注意的是,应当为每个VLAN都配置IP地址信息,否则,将无法实现与其他VLAN的通讯。
第1步 进入全局配置模式。
Switch# configure terminal
第2步 指定欲配置的VLAN。
Switch(config)# vlan vlan_id
第3步 为该VLAN指定IP地址信息。该VLAN
中的计算机,将使用该IP地址作为默认网关。
Switch(config-if)# ip address ip_address subnet_mask
第4步 启用该逻辑三层接口。
Switch(config-if)# no shutdown
第5步 退出配置模式。
Switch(config-if)# end
第6步 将配置保存至NVRAM。
Switch# copy running-config startup-config
第7步 校验配置。
Switch# show interfaces [type slot/interface]
Switch# show ip interfaces [type slot/interface]
Switch# show running-config interfaces [type slot/interface]
Switch# show running-config interfaces vlan vlan_ID
带宽倍增方案
EtherChannel 技术是Cisco开发的,应用于交换机之间、交换机和路由器之间以及交换机和服务器之间的多链路技术(符合标准 IEEE802.p)。使用 Fast EtherChannel和Gigbit EtherChannel技术,可以通过2条或4条链路,将2个或4个10/100Mbps或1000Mbps端口连接在一起,叠加其传输带宽,从而实现高达400Mbps(10/100Mbps端口)、4Gbps(1000Mbps端口)的带宽,使网络设备之间通讯更加快速与顺畅。
1.EtherChannel简介
对于10/100Mbps端口而言,EtherChannel无疑是一种廉价的千兆以太网解决方案;对于1000Mbps端口而言, EtherChannel则成倍地增加了网络带宽,消除了交换机之间由于级联而产生的瓶颈,更能满足交换机之间以及交换机与服务器之间的大量数据交换。除此之外,EtherChannel还具有负载分担和线路备份的作用。所谓负载分担,是指当交换机之间或交换机与服务器之间在进行通讯时, EtherChannel的所有链路将同时参与数据的传输,从而使所有的传输任务都能在极短的时间完成,线路占用的时间更短,网络传输的效率更高。所谓线路备份,是指当部分EtherChannel链路出现故障时,并不会导致连接的中断,其他链路将能够不受影响地正常工作,从而增强了网络的稳定性和安全性。
使用端口聚合协议(PAgP,Port AggregationProtocol),可以很容易地在有EtherChannel能力的端口间,自动建立 Fast EtherChannel 和 GigabitEtherChannel连接,进行信息的交流。该协议具有学习相邻端口组动态和信息的能力。P A gP 是EtherChannel的增强版,它支持在 EtherChannel上的Spanning Tree 和 Uplink Fast 功能,并支持自动配置EtherChannel的捆绑。Uplink Fast也是Cisco交换机技术,能够保证交换机在几秒钟内快速从失败中恢复。
链路汇聚控制协议(LACP,Link AggregationControl Protocol)让用户可以利用符合IEEE 802.3ad的设备创建以太网通道。这种功能类似于思科EtherChannel技术和PAgP。在建立端口组时,遵循下列限制性规定:
☆快速以太网端口和千兆以太网端口不能被添加至同一端口组。
☆端口组成员不能被配置为Switched Port Ana-lyzer (SPAN)端口监视。
☆端口组成员不能被启用端口安全。
☆在一个交换机上最多可建立12个端口组。Source-Based端口组最多可拥有8个端口,Destina-tion-Based端口组可拥有任意数量端口,并且不能建立由source-Based端口和destination-Based端口组成的混合端口组。
☆端口组成员必须具有相同的VLAN设置,并且必须全部为静态端口、多VLAN端口和中继端口。
☆静态访问端口不能和其他端口聚合在一起,甚至也不能和其他动态访问端口聚合在一起。
2.配置EtherChannel
使用 PAgP 或 LACP 协议,可以很容易地在有EtherChannel能力的端口间自动建立Fast EtherChannel和Gigabit EtherChannel连接,进行信息的交流。该协议具有学习相邻端口组动态和信息的能力。PAgP是EtherChannel的增强版,它支持在 EtherChannel上的Spanning Tree和Uplink Fast功能,并支持自动配置
EtherChannel的捆绑。Uplink Fast也是Cisco交换机技术,能够保证交换机在几秒钟内快速从失败中恢复。
第1步 进入配置模式。
Switch# configure terminal
第2步 选择欲配置的物理接口。
Switch(config)# interface interface-id
第3 步 将接口指定至Channel组,并指定PAgP模式。默认模式为“auto silent”。“channel-group-number”用于指定欲创建的EtherChannel号,可取值范围为1~6,每个 EtherChannel最多可以容纳8个适合的以太网接口。指定端口的PAgP模式。“active”,当侦测到LACP设备时,将只启用LACP。激活接口的主动协商状态,通过发送 LACP 包,与其他接口进行主动协商。“auto”,当侦测到PAgP设备时,将只启用PAgP。将端口置于被动协商状态,可以对接收到的PAgP作出响应,但是,不能主动发送 PAgP 包进行协商。
“desirable”,无条件启用PAgP将接口置于主动协商状态,通过发送PAgP包,主动与其他接口进行协商。
“on”,将接口强行指定至Channel。只有两个on模式接口组连接时,EtherChannel才可用。“non-silent”,
如果交换机连接到有PAgP能力的伙伴,可以将接口配置为non silent(非沉默)运行。如果没有为“auto”
或“desirable” 模式指定“non-silent”关键字,默认为“silent”。沉默设置被用于连接到文件服务器或包分析仪。该设置允许PAgP将接口添加至 Channel组,并使用接口进行传输。“passive”,当侦测到LACP设备时,将只启用LACP。将端口置于被动协商状态,可以对接收到的 LACP作出响应,但是,不能主动发送LACP包进行协商。
采用 PAgP 协议时,以下几种模式可以构建EtherChannel:
☆一个接口为“desirable”模式,另一个接口为“desirable”或“auto”模式。
☆一个接口为“auto”模式,另一个接口为“desirable”模式。
采用 LACP 协议时,以下几种模式可以构建EtherChannel:
☆一个接口为“active”模式,另一个接口为“active”或“passive”模式。
☆一个接口为“active”模式,另一个接口为“passive”模式。
Switch(config-if)# channel-groupport_channel_number mode {{auto [non-silent] | de-sirable [non-silent] | on} | {active | passive}}
第4步 退出配置模式。
Switch(config-if)# end
第5步 校验配置。
Switch# show running-config
第6步 保存配置。
Switch# copy running-config startup-config
3.配置EtherChannel负载均衡
EtherChannel 还具有负载分担和线路备份的作用。所谓负载分担,是指当交换机之间或交换机与服务器之间在进行通讯时,EtherChannel的所有链路将同时参与数据的传输,从而使所有的传输任务都能在极短的时间完成,线路占用的时间更短,网络传输的效率更高。所谓线路备份,是指当部分EtherChannel链路出现故障时,并不会导致连接的中断,其他链路将能够不受影响地正常工作,从而增强了网络的稳定性和安全性。
第1步 进入配置模式。
Switch# configure terminal
第2步 配置Etherchannel负载均衡。
Switch(config)#port-channelload-balance{dst-mac | -mac}
其中,dst-mac,基于进入包的目的主机的MAC地址进行负载分配。在EtherChannel中,发送至同一目的主机的包被转发至相同端口,不同目的主机的包被发送至不同的端口。-mac,基于进入包的源 MAC 地址进行负载分配。在EtherChannel中,来自不同主机的包,使用不同的端口;来自于同一主机,则使用同一端口。
第3步 退出配置模式。
Switch(config-if)# end
第4步 校验配置。
Switch# show etherchannel load-balance
第5步 保存配置。
Switch# copy running-config startup-config
4.移除端口和EtherChannel
● 从EtherChannel中移除接口
第1步 进入配置模式。
Switch# configure terminal
第2步 指定欲配置的物理接口。
Switch(config)# interface interface-id
第3步 从EtherChannel中移除接口。
Switch(config-if)# no channel-group
第4步 退出配置模式。
Switch(config-if)# end
第5步 校验配置。
Switch# show running-config
第6步 保存配置。
Switch# copy running-config startup-config
● 移除EtherChannel
第1步 进入配置模式。
Switch# configure terminal
第2步 移除Channel接口。
Switch(config)# no interface port-channel port_channel_number
第3步 退出配置模式。
Switch(config-if)# end
第4步 校验配置。
Switch# show etherchannel summary
第5步 保存配置。
Switch# copy running-config startup-config
访问列表方案
访问控制列表(ACL,Access Control List)是Cisco IOS提供的一种访问控制技术,被广泛应用于路由器和三层交换机。借助ACL,可以有效地控制用户对网络和Internet的访问,从而最大限度地保障网络安全,并使得企业网络不被滥用。
1.认识访问列表
ACL 使用包过滤技术,在路由器上读取第三层及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。不过,由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到“端到端”的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
● 交换机支持的访问列表
交换机支持IP访问列表和Ethernet(MAC)访问列表。
☆ IP 访问列表。过滤 IP 通信,包括 TCP、User Datagram Protocol (UDP)、Internet Group Manage-ment Protocol (IGMP)和 Internet Control MessageProtocol (ICMP)。
☆Ethernet访问列表。过滤非IP通信。交换机支持三种访问列表的应用过滤传输:
☆端口访问列表。也称MAC访问列表。对进入二层接口的通信实施访问控制。交换机不支持外出访问的访问列表。在二层接口可以应用IP访问列表和端口访问列表。
☆路由访问列表。对VLAN之间以及三层接口之间的通信实施访问控制,并且可以控制进、出双向通信。
☆VLAN访问列表。也称VLAN映射,对所有包实现访问控制。在同一VLAN的设备之间,可以采用
VLAN ACL实施访问控制。VLAN访问列表的配置与访问控制均基于IP地址,不支持基于MAC地址的访
问控制。可以在同一交换机上实施端口访问列表、路由访问列表和VLAN访问列表。不过,端口访问列表优先于路由访问列表和VLAN访问列表。
● 访问列表的类型
Cisco支持三种类型的访问列表,即标准IP访问列表、扩展IP访问列表和命名访问控制列表。
☆标准IP访问控制列表
标准访问列表只允许过滤源地址,且功能十分有限。当我们要想阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP 地址的所有通信流量通过路由器的出口。
☆扩展IP访问控制列表
扩展访问列表允许过滤源地址、目的地址和上层应用数据,因此,可以适应各种复杂的网络应用。扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。
☆命名访问控制列表
在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样,可以在使用过程中方便地进行修改。
● 配置访问列表应当注意的问题
在设置访问列表时,应当遵循最小特权原则,即只给受控对象完成任务所必须的最小的权限,从而最大限度地保障网络传输安全。
☆ 自上而下的处理过程访问列表包含一个访问控制条目(ACE,AccessControl entry)规则列表。每个ACE都指定“permit”(允许)或“deny”(拒绝),以及应用条件,包会逐个条目顺序匹配ACE。访问列表表项的检测按自上而下的顺序进行,并且从第一个表项开始。这意味着必须特别谨慎地考虑访问列表中语句的顺序。
☆添加表项
新增加的表项被追加到访问列表末尾,这就意味着不能改变已有的访问列表的功能。如果要改变,就必须创建一个新的访问列表,并删除已经存在的访问列表,并且将新的访问列表应用于接口上。
☆标准访问列表过滤
标准访问列表只限于过滤源地址,所以,需要使用扩展的IP访问列表来满足企业的特殊需求。
☆访问列表位置
应当将扩展访问列表尽量放在靠近过滤源的位置上,这样,创建的过滤器就不会反过来影响其他接口上的数据流。而标准访问列表则应当尽量靠近目的地位置。由于标准访问列表只使用源地址,因此,将阻止报文流向其他端口。
☆语句的位置
由于 IP协议包含 ICMP、TCP和 UDP,所以,应当将具体的表项放在不太具体的表项前面,以保证
位于另一个语句前面的语句不会否定表中后面语句的作用效果。
☆访问列表应用
使用Access-group命令应用访问列表。需要注意的是,只有访问列表被应用于接口上时,才执行过滤操作,从而真正产生作用。
☆过滤方向
通过接口的数据流是双向的。过滤方向定义了欲检查的是流入还是流出的报文。所以,访问列表要应用到接口的特定方向上。向外的(outbound),表示数据流从三层设备流出;向内的(inbound),表示数据流流向三层设备。
● 访问列表配置步骤
☆分析需求,找清楚需求中要保护什么或控制什么;为方便配置,最好能以表格形式列出。
☆分析符合条件的数据流的路径,寻找一个最适合进行控制的位置。
☆编写ACL,并将ACL应用到接口上。☆测试并修改ACL。
2.创建并应用IP访问列表
● 创建标准访问列表
第1步 进入全局配置模式。
Switch# configure terminal
第2步 使用源地址或通配符定义标准IP访问
列表。
Switch(config)# access-list access-list-number{deny | permit} source [source-wildcard]
access-list-number ACL号。ACL号相同的所有ACL形成一个组。在判断一个包时,使用同一组中的条目从上到下逐一进行判断,遇到满足的条目就终止对该包的判断。1 ~ 99或1300 ~1999为标准的IPAC号。
deny | permit 当条件匹配时,是允许包通过,还是将包丢弃。
Source 源地址。发送包的网络或主机地址,使用点分十分进表示。当表示一组主机时,使用通配符屏蔽码。
source-wildcard 通配符屏蔽码。Cisco访问列表所支持的通配符屏蔽码与子网掩码的方式是相反的。也就是说,二进制“0”表示一个匹配条件,“1”表示一个不关心条件。
Any 表示任何主机。源地址和源通配符0.0.0.0 255.255.255.255的缩写。例如,若欲拒绝从源地址192168.1.100发出的报文,并且允许发自其他源地址的报文,应当使用下述语句:
Access-list 1 deny host 192.168.1.100
Access-list 1 permit any
需要注意这两条语句的顺序。访问列表语句的处理是由上至下的。如果将两个语句顺序颠倒,将Permit语句放在Deny语句前面,则不能过滤来自主机的报文,因为Permit语句将允许所有报文通过。访问列表中的语句顺序非常重要,不合理的语句顺序将会在网络中产生安全漏洞,或者使得用户不能很好地利用公司的网络策略。
Host 表示一台主机,是源和源通配符0.0.0.0的缩写。例如,若欲允许从192.168.1.200发出的报文,则应当使用下述语句:
Access-list 1 permit 192.168.1.200 0.0.0.0
上述语句也可以使用下面的语句代替:
Access-list 1 permit host 192.168.1.200
第3步 返回特权配置模式。
Switch(config)# end
第4步 校验当前设置。
Switch# show access-lists number
第5步 保存当前配置。
Switch# copy running-config startup-config
使用“no access-list access-list-number”全局配置命令,可以删除全部访问列表。需要注意的是,不能从指定的访问列表中删除某个ACE。
● 创建扩展访问列表
标准IP访问列表只能控制源IP地址,不能控制目的IP
上一篇: Linux 上配置 Nginx + Mongrel cluster
下一篇: 搭建高效、可靠、稳定的WEB服务器
文章来自: 转载
引用通告: 查看所有引用 | 我要引用此文章
Tags:
相关日志:
下一篇: 搭建高效、可靠、稳定的WEB服务器
文章来自: 转载
引用通告: 查看所有引用 | 我要引用此文章
Tags:
相关日志:
评论: 0 | 引用: 0 | 查看次数: 3368
发表评论