《实训访问映射表配置教学课件电子教案.pptx》由会员分享,可在线阅读,更多相关《实训访问映射表配置教学课件电子教案.pptx(23页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、实训11 VLAN访问映射表VLAN-ACL配置实训11 VLAN访问映射表VLAN-ACL配置目 录contents0101实训目的实训目的背景描述背景描述实训原理实训原理实训步骤实训步骤赛点链接赛点链接02020303040405050606易错分析易错分析01实训目的0101实训目的实训目的通过本实训,读者可以掌握如下技能:1. 了解VLAN访问映射表VLAN-ACL工作原理、运行机制;2. 熟练掌握交换机VLAN访问映射表VLAN-ACL的配置。02背景描述0202背景描述背景描述达通集团北京总部网络管理员计划在总部两台核心交换机CS6200通过对VLAN配置ACL策略,从而限制财务商
2、务部与产品研发部相互访问。VLAN-ACL使用户能够更加方便地管理网络。0202背景描述实训拓扑0202背景描述需求分析财务商务部属于VLAN20、192.168.20.0/24网段,产品研发部属于VLAN30、192.168.30.0/24网段,在总部两台核心交换机CS6200针对VLAN20、VLAN30配置VLAN-ACL策略,限制财务商务部与产品研发部相互访问。BFD MAD IP 地址规划如下表:BFD MAD IP 地址规划如下表:0202背景描述数据规划BFD MAD IP 地址规划如下表:BFD MAD IP 地址规划如下表:部门名称部门名称部门网段部门网段部门部门VLANVL
3、AN号号财务商务部192.168.20.0 /2420产品研发部192.168.30.0 /243003实训原理0303实训原理用户通过对VLAN配置ACL策略,从而实现对VLAN内所有端口的访问控制,VLAN-ACL使用户能够更加方便地管理网络。用户只需在VLAN下配置ACL策略,相应的ACL动作就能在VLAN的所有成员端口生效,而无需在每个成员端口上单独配置。 当VLAN ACL与Port ACL同时配置时,由于端口ACL优先级高于VLAN-ACL,故先匹配端口的ACL,再匹配VLAN-ACL。 VLAN-ACL入口方向实现对报文的过滤,符合特定规则的报文可以允许通过或者禁止通过。ACL可
4、以支持IP ACL,MAC ACL,MAC-IP ACL,IPv6 ACL。在VLAN入口方向上可以同时配置四种ACL。04实训步骤0404实训步骤1.配置思路:首先在接入、核心交换机上完成基础配置,包括创建VLAN、配置IP地址等,然后完成VLAN-ACL的配置操作步骤:(1)在交换机SW-Core上进行基础配置SW-CoreenableSW-Core#confSW-Core(config)#vlan 10;20;30;40;50SW-Core(config)#int vlan 10SW-Core(config-if-vlan10)#ip add 192.168.10.254 255.255
5、.255.0SW-Core(config-if-vlan10)#exitSW-Core(config)#int vlan 20SW-Core(config-if-vlan20)#ip add 192.168.20.254 255.255.255.0SW-Core(config-if-vlan20)#exitSW-Core(config)#int vlan 30SW-Core(config-if-vlan30)#exitSW-Core(config)#int vlan 40SW-Core(config-if-vlan40)#ip add 192.168.40.254 255.255.255.0S
6、W-Core(config-if-vlan40)#exitSW-Core(config)#int vlan 50SW-Core(config-if-vlan50)#ip add 192.168.50.254 255.255.255.0SW-Core(config-if-vlan50)#exit0404实训步骤SW-Core(config)#int port-channel 1SW-Core(config-if-port-channel1)#switchport mode trunk SW-Core(config-if-port-channel1)#exitSW-Core(config)#int
7、erface ethernet 1/0/4;2/0/5SW-Core(config-if-port-range)#switchport mode trunk SW-Core(config-if-port-range)#exitSW-Core(config)#exitSW-Core#0404实训步骤(2)在交换机BJ-S4600-1、BJ-S4600-2上进行基础配置BJ-S4600-1enableBJ-S4600-1#confBJ-S4600-1(config)#int port-channel 1BJ-S4600-1(config-if-port-channel1)#switchport m
8、ode trunk Set the port Port-Channel1 mode Trunk successfullyBJ-S4600-1(config-if-port-channel1)#exitBJ-S4600-1(config)#exitBJ-S4600-1#BJ-S4600-2enableBJ-S4600-2#conf BJ-S4600-2(config)#int e1/0/1-2BJ-S4600-2(config-if-port-range)#switchport mode trunk Set the port Ethernet1/0/1 mode Trunk successful
9、lySet the port Ethernet1/0/2 mode Trunk successfullyBJ-S4600-2(config-if-port-range)#exitBJ-S4600-2(config)#exit0404实训步骤(3)在SW-Core上配置VLAN-ACLSW-CoreenableSW-Core#confSW-Core(config)#ip access-list standard deny_vlan20SW-Core(config-ip-std-nacl-deny_vlan20)#deny 192.168.20.0 0.0.0.255 SW-Core(config
10、-ip-std-nacl-deny_vlan20)#permit any-source SW-Core(config-ip-std-nacl-deny_vlan20)#exitSW-Core(config)#ip access-list standard deny_vlan30SW-Core(config-ip-std-nacl-deny_vlan30)#deny 192.168.30.0 0.0.0.255 SW-Core(config-ip-std-nacl-deny_vlan30)#permit any-source SW-Core(config-ip-std-nacl-deny_vla
11、n30)#exitSW-Core(config)#exitSW-Core#0404实训步骤(4)在SW-Core上使VLAN-ACL在相应VLAN上生效SW-Core#confSW-Core(config)#firewall enable SW-Core(config)#vacl ip access-group deny_vlan30 in vlan 20SW-Core(config)#vacl ip access-group deny_vlan20 in vlan 30SW-Core(config)#exitSW-Core#05赛点链接0505赛点链接2018年中职组国赛交换机部分第六小题2
12、017年勒索蠕虫病毒席卷全球,爆发了堪称史上最大规模的网络攻击,通过对总部核心交换机SW-Core 所有业务VLAN下配置访问控制策略实现双向安全防护; 06易错分析0606易错分析当VLAN ACL与Port ACL同时配置时,如果这两个acl是同种类型的acl(比如都是ip acl或者都是mac acl)则优先级关系为端口VLAN。因此,如果此时数据包同时匹配上port上的规则和vlan上的规则时,则只有port上的规则生效,此时不会满足deny优先原则。但如果这两个acl是不同类型的acl,则可以满足deny优先原则。每一个不同类型的ACL在一个VLAN上仅能配置一个,如:基本的IP ACL,在每个VLAN上仅能够应用一个。THANKS