果洛wap网站建设比较好有趣的网站有哪些推荐

ACL流量控制实验

拓扑图

1.让vlan 10和vlan 20之间无法通信，源IP为vlan 10网段

• 先分析选择端口和入方向还是出方向

很明显，要阻断vlan 10和vlan 20之间的通信，源IP还是vlan 10网段的，那么就把ACL配置在虚拟接口vlan 20上面；如果配置在入接口上面，方向是这样的：

这个入接口只能控制源为vlan 20网段的流量，而我们配置的要求是源IP为vlan 10网段的，因此配在vlan 20接口的入方向没有任何控制作用。

三层交换机：

access-list 10 deny 192.168.10.0 0.0.0.255 access-list 10 permit anyint vlan 20ip access-group 10 out

这是传统标准ACL的写法。

命名标准ACL的写法

ip access-list v1010 deny 192.168.10.0 0.0.0.25520 permit anyint vlan 20ip access-group v10 out

2.让vlan 10网段的主机无法获取DHCP服务

这里就不能使用标准ACL了，如果使用标准ACL，那么根据源IP过滤，将会让vlan 10网段的主机无法使用任何服务;还有在这里用入接口，一般的扩展ACL都是配置在入接口，避免造成没有必要的资源浪费。

传统扩展ACL

access-list 111 deny udp any eq 68 any eq 67access-list 111 permit ip any anyint vlan 10ip access-group 111 in

命名扩展ACL

ip access-list extended abc10 deny udp any eq 68 any eq 6715 permit ip any any int vlan 10ip access-group abc in

3.让vlan 10网段的主机无法使用DNS服务

这里一样的不能使用标准ACL，使用扩展ACL精确匹配。

传统扩展ACL

access-list 104 udp any any eq 53access-list 104 permit ip any anyint vlan 10ip access-group 104 in

命名扩展ACL

ip access-list extended bbb10 deny udp any any eq 5315 permit ip any anyint vlan 10ip access-group bbb in

测试：

ok，无法使用DNS服务导致域名无法解析。

4.让vlan 10无法访问HTTP服务

传统扩展ACL

access-list 103 deny tcp any any eq 80access-list 103 permit ip any any int vlan 10ip access-group 103 in

命名扩展ACL

ip access-list extended ccc10 deny tcp any any eq 8015 permit ip any anyint vlan 10ip access-group ccc in

测试：

这里要注意了，我这里只配置了无法使用HTTP服务，DNS服务还是可以使用的，所以这里域名是已经解析了，但是无法访问HTTP服务导致的超时。

5.除了vlan 8网管PC能telnet远程连接交换机外，其他vlan网段的主机都不能使用Telnet服务

传统命名ACL

access-list 101 deny tcp any any eq 23access-list permit ip any anyint vlan 10ip access-group 101 inint vlan 20ip access-group 101 in

命名扩展ACL

ip access-list extended ddd10 deny tcp any any eq 2315 permit ip any anyint vlan 10ip access-group ddd inint vlan 20ip access-group ddd in

测试：

小结：

• 传统标准ACL

  • 分类数据：根据数据包中的源IP地址分类数据
  • 增删改：只能按照顺序增加，不能从中间新增，删除一个规则即删除整条ACL

• 命名标准ACL

  • 分类数据：根据数据包中的源IP地址分类数据
  • 增删改：每条ACL中的规则都有唯一序号，按照序号大小匹配，可以按序号新增

• 传统扩展ACL

  • 分类数据：可以根据数据包中的五元组来分类数据（源、目IP，协议号，源、目端口）
  • 增删改：只能按照顺序增加，不能从中间新增，删除一个规则即删除整条ACL

• 命名扩展ACL

  • 分类数据：可以根据数据包中的五元组来分类数据（源、目IP，协议号，源、目端口）
  • 增删改：每条ACL中的规则都有唯一序号，按照序号大小匹配，可以按序号新增