赫思曼交换机访问控制列表配置

赫思曼交换机访问控制列表配置

准备工作：

1．按照网络拓扑图为PC A、PC B、PC C和PC D及 Power MICE交换机配置相应的IP地址。

2．PC A、PC B分别连接交换机的2/1、2/2端口；PC C、PC D分别连接交换机的2/3、2/4端口。

实验任务：

通过在交换机上配置扩展访问控制列表使PC A可以和另外3台PC通信，但PC B只能和PC

A、 PC C通信，无法与PC D通信。

注意：扩展访问控制列表不仅能够实现对终端访问权限的设置，而且还可以通过对通信协议（如ICMP TCP/UDP等）和通信端口（如ftp:20/21 telnet:23 smtp:25 http:80等）的限制

实现更高级的访问控制功能，本次操作仅对Ping（基于ICMP）进行测试。

实验步骤：

将调试所用的笔记本电脑的串口与交换机的V.24口相连，通过超级终端访问交换机

选择“还原为默认设置”

(Hirschmann PowerMICE) //蓝色表示输入字符，回车略去User:admin//输入用户名称

Password:*******//输入密码private

将交换机切换到配置模式

(Hirschmann PowerMICE) >enable// 由用户模式“>”进入特权模式“#”(Hirschmann PowerMICE) #configure// 由特权模式“#”进入配置模式“（config）”(Hirschmann PowerMICE) (Config)#

设置访问控制列表条件语句

(Hirschmann PowerMICE) (Config)#access-list 100 deny icmp 10.0.0.2 0.0.0.0 10.0.0.4 255.255.255.0

//创建表号为100的扩展访问控制列表，拒绝源地址为10.0.0.2向10.0.0.4发送ICMP数据包

注意：10.0.0.2后面的0.0.0.0不是子网掩码，而是反向掩码，代表精确匹配。

在访问控制列表中“0”代表匹配，“1”代表忽略(即不匹配)，符合匹配条件的即按照访问

控制列表中的要求执行。

[相关知识] ACL和反向子网掩码

访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL，标准访问控制列表是最简单的ACL。

它的具体格式如下：access-list ACL号 permit|deny host ip地址例如：access-list 10 deny 192.168.1.1 0.0.0.0这句命令是将所有来自192.168.1.1地址的数据包丢弃。

当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 192.168.1.0 0.0.0.255

通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢？这是因为CISCO规定在ACL中用反向掩玛表示子网掩码，反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。

(Hirschmann PowerMICE) (Config)#access-list 100 permit icmp any any

//访问控制列表存在隐含规则为拒绝所有，主要是考虑到对于非法用户及不确定是否拥有访问权限的用户进行默认控制。这样可以避免因为遗忘或者访问控制规则设计的纰漏造成的不能对非法用户进行有效控制的情况。例如access-list 1 permit 192.168.1.0 0.0.0.255这条访问控制列表表面上允许192.168.1.0网段通过，其实隐含了一条规则为access-list 1 deny any，这样如果该网络中还有192.168.2.0 或者其他网段的用户默认情况下是拒绝通过的，如需开放某网段，需再添加条件即可。

在访问控制列表中至少应该有一条permit语句。

将访问控制列表条件语句应用到交换机某一端口上

(Hirschmann PowerMICE) (Config)#interface 2/4 //进入交换机的端口模式

(Hirschmann PowerMICE) (Interface 2/4)#ip access-group 100 in

//将表号为100的访问控制列表应用于该端口上

访问控制列表一定要应用到交换机的端口上，否则不会生效。

测试：

PC A可以和另外3台PC通信，PC B不能和PC D通信。

[相关资料]IP Access-List 十大军规

访问控制列表军规第一条：基于IP的访问控制列表分为标准访问控制列表和扩展访问控制列表。IP标准访问控制列表的编号范围是1-99，IP扩展访问控制列表的编号范围是

100-199。

标准访问控制列表所检查的项目比较少，适合于规则控制不精细的网络，扩展访问控制

列表适合于规则控制得比较精细的网络。

访问控制列表军规第二条：标准访问控制列表只检查源地址。

只检查源地址的意思是说只检查数据包是从哪一个网段发出的，符合规则的网段采用相

应的规则。标准访问控制列表例子：access-list 10 deny 192.168.1.0 0.0.0.255 这条访问控

制列表的意思是拒绝192.168.1.0网段发出的任何数据包的任意访问通过。

访问控制列表军规第三条：访问控制列表的策略执行是从上至下，逐条匹配的，一旦匹配立即执行。

例如：access-list 10 premit 192.168.1.0 0.0.0.255 access-list 10 deny 192.168.2.0 0.0.0.255 当一个属于192.168.2.0网段的数据包过来以后首先会查看第一条规则，然后才会

查看第二条规则，直到找到适合自己的规则之后才会执行相应的策略。

访问控制列表军规第四条：越精细的规则越要放在访问控制列表的前列。

在设计访问控制列表规则时，要防止精细的规则由于位置的问题，基于军规第三条，可

能产生这样的情况。例如access-list 10 permit 192.168.1.0 0.0.0.255 access-list 10 deny 192.168.1.1 0.0.0.0 两条访问控制列表的规则分别是允许192.168.1.0网段数据包通过，不

允许192.168.1.1这台主机的数据包通过，如果按照例子中的顺序来写规则，那么当192.168.1.1这台主机的数据包到来时，会优先查看允许192.168.1.0网段数据包通过的规则，

恰好符合，那么自然就通过了，而拒绝192.168.1.1这台主机数据包通过的规则就不会发生作

用了，与我们想象中的作用不符。

访问控制列表军规第五条：越常用的规则越要放在访问控制列表的前列，但不能逾越军规四。

本条军规也是访问控制列表的规则设计上进行指导，例如access-list 10 deny 192.168.1.1 0.0.0.0 access-list 10 permit 192.168.1.0 0.0.0.255 access-list 10 deny 192.168.2.0 0.0.0.255 三条规则中按设计原则上没有太大问题，但如果网络中存在大量的

192.168.2.0网段的向外访问，而192.168.1.0网段向外访问量比较少，那么我们可以将规则

这样调整access-list 10 deny 192.168.1.1 0.0.0.0 access-list 10 deny 192.168.2.0 0.0.0.255 access-list 10 permit 192.168.1.0 0.0.0.255 ，这样可以提高规则查找的效率，近而提高整个

访问控制列表的工作效率。但是为了提高访问控制列表工作效率不能以牺牲精确查找推后为

原则。例如：access-list 10 deny 192.168.2.0 0.0.0.255 access-list 10 permit 192.168.1.0 0.0.0.255 access-list 10 deny 192.168.1.1 0.0.0.0。这样是与军规四相违背的。

访问控制列表军规第六条: 访问控制列表存在隐含规则为拒绝所有。

军规第六条之所以这样设计，主要是考虑到对于非法用户及不确定是否拥有访问权限的用户进行默认控制。这样可以避免因为遗忘或者访问控制规则设计的纰漏造成的不能对非法用户进行有效控制的情况。例如access-list 1 permit 192.168.1.0 0.0.0.255这条访问控制列表表面上允许192.168.1.0网段通过，其实隐含了一条规则为access-list 1 deny any，这样如果该网络中还有192.168.2.0 或者其他网段的用户默认情况下是拒绝通过的，如需开放某网段，需再添加条件即可。

访问控制列表军规第七条：访问控制列表必须在接口下调用。

这条规则比较好理解，就是说制定完访问控制规则之后，一定要找一个地方来调用它，

执行它。如果访问控制列表没有被在接口下调用，那么即使设计再细致的方案也将无法生效，

好比一项法令颁布后，有人违法却无人执法一个道理。之所以将此规定明确列入十大军规，

是因为对于学生或者初学者，经常会遗忘这一看似不重要的要点。

访问控制列表军规第八条：访问控制列表某条规则一旦删除必须重新配置所有规则。

军规第八条的规定更象是访问控制列表的一个毛病，特别是在大型网络的设计实施过程中，如果某条访问控制条目出错，需要删除时，必须将这条访问控制列表的所有规则删除掉，

因为在访问控制列表中没有指针指定某个条目的所在位置。如何解决这个不近人情的问题呢？最好的办法就是将所有的访问控制列表规则现在电脑“记事本”程序中将所有规则敲入，

制作成规则模板，确认无误后再导入设备中，如果后期出现问题，那么直接在规则模板中修

改并导入即可。

访问控制列表军规第九条：标准访问控制列表尽量在靠近目标地址的接口上调用。

由于标准访问控制列表只能检查源地址，不考虑数据包的目标地址，所以如果在靠近源

地址上调用访问控制列表，极有可能造成该网段用户所有地址均不能访问网络任何资源。

例如下图中PC2处于172.16.2.0/24网段，规则只禁止该网段不能访问172.16.4.0/24网

段，如果该规则在router1的F1/1接口调用，那么该网段将不能访问所有外部网络，因为标

准访问控制列表只检查源地址，所以标准访问控制列表尽量在靠近目标地址的接口上调用。

访问控制列表军规第十条：扩展访问控制列表尽量在靠近源地址的接口上调用。

扩展访问控制列表可以检查源地址及目标地址，按照一般的应用放在哪个接口上都不影响规则的实施，但我们要注意一个细节。如果不允许某些用户的访问请求，那么就应该尽可能早的将访问的请求拒绝掉，而如果将规则在靠近目标地址的接口下调用，那么本该拒绝的数据流依然会在链路上传输，从而造成带宽资源的浪费。例如下图中规则禁止PC2访问PC4，那么如果将规则应用在router2的F1/1接口下，效果也可以达到，但是PC2访问PC4的数据请求，也经过了整个网络的传输，既然不允许两台主机互访，为了提高网络的整体运行效率，那么为什么不将该数据请求发出时就禁止掉呢？

所以扩展访问控制列表尽量在靠近源地址的接口上调用。

三层交换机配置ACL(访问控制列表)

三层交换机配置ACL（访问控制列表） 说明：书本上讲述的ACL主要是应用在路由器上，但现在三层交换机在大中型企业中的应用越来越广泛，三层交换机因拥有路由器的功能而逐渐代替路由器。ACL访问控制列表是构建安全规范的网络不可缺少的，但在三层交换机上配置ACL却不为一些刚进企业的初级网络管理维护人员所知。在这里我介绍一下在三层交换机上配置ACL的试验过程。 试验拓扑介绍： 三层交换机上配置本地Vlan 实现下层接入层交换机不同Vlan互通。 PC1 192.168.20.10 VLAN 192.168.20.1 PC2 192.168.30.20 VLAN 192.168.30.1 PC3 192.168.40.30 VLAN 192.168.40.1 PC4 192.168.50.40 VLAN 192.168.50.1 F0/1 192.168.70.2 （开启路由功能） 路由器上配置 F0/0 192.168.60.1 PC5 192.168.60.50 F0/1 192.168.70.1 试验步骤： 1、在二层交换机上把相应的PC加入VLAN 查看交换机Switch0 Switch0(config)#show run ！ interface FastEthernet0/1

switchport access vlan 2 ! interface FastEthernet0/2 switchport access vlan 3 ! 查看交换机Switch1 Switch1#show run ! interface FastEthernet0/3 switchport access vlan 4 ! interface FastEthernet0/4 switchport access vlan 5 ! 2、在三层交换机上配置相应的本地VALN Switch(config)#inter vl 2 Switch(config-if)#ip add 192.168.20.1 255.255.255.0 Switch(config-if)#no shut Switch(config)#inter vl 3 Switch(config-if)#ip add 192.168.30.1 255.255.255.0 Switch(config-if)#no shut Switch(config)#inter vl 4 Switch(config-if)#ip add 192.168.40.1 255.255.255.0 Switch(config-if)#no shut Switch(config)#inter vl 5 Switch(config-if)#ip add 192.168.50.1 255.255.255.0 Switch(config-if)#no shut Switch(config-if)#exi 在接口itnerface f0/1上开启路由接口 Switch(config)#inter f0/1 Switch(config-if)#no switchport 3、在二层交换机和三层交换机之间开启中继链路 4、在路由器和三层交换机上配置动态路由协议RIP Router（config）#router rip Router（config）#network 192.168.60.0 Router（config）# network 192.168.70.0 三层交换机上配置 Switch(config)#router rip Switch(config-router)#ne Switch(config-router)#network 192.168.70.0 Switch(config-router)#network 192.168.20.0 Switch(config-router)#network 192.168.30.0 Switch(config-router)#network 192.168.40.0 Switch(config-router)#network 192.168.50.0 Switch(config-router)# 5、验证各PC互通 PC>ping 192.168.30.20 Pinging 192.168.30.20 with 32 bytes of data: Request timed out.

标准访问控制列表配置

13.标准访问列表的实现 一．实训目的 1.理解标准访问控制列表的概念和工作原理。 2.掌握标准访问控制列表的配置方法。 3.掌握对路由器的管理位置加以限制的方法。 二．实训器材及环境 1．安装有packet tracer5.0模拟软件的计算机。 2．搭建实验环境如下： 三．实训理论基础 1．访问列表概述 访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个内容。 访问列表应用在路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。 数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。 访问控制列表可以限制网络流量，提高网络性能，控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段。 2．访问列表类型 访问列表可分为标准IP访问列表和扩展IP访问列表。

标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。 3．ACL的相关特性 每一个接口可以在进入（inbound）和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL。 ACL语句包括两个动作，一个是拒绝（deny）即拒绝数据包通过，过滤掉数据包，一个是允许(permit)即允许数据包通过，不过滤数据包。 在路由选择进行以前，应用在接口进入方向的ACL起作用。 在路由选择决定以后，应用在接口离开方向的ACL起作用。 每个ACL的结尾有一个隐含的“拒绝的所有数据包(deny all)”的语句。 4．ACL转发的过程 5．IP地址与通配符掩码的作用规 32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配，通配 符掩码为1的位所对应的IP地址位不必匹配。

实验三交换机的基本配置

计算机网络实验报告 实验组号：课程：班级： 实验名称：实验三交换机的基本配置 姓名__________ 实验日期： 学号_____________ 实验报告日期： 同组人姓名_________________ 报告退发： ( 订正、重做 ) 同组人学号_ _______________________ 教师审批签字：通过不通过 实验三交换机的基本配置 一、:实验名称:交换机的基本配置 二、实验目的: 1.熟练掌握网络互联设备-交换机的管理配置方法，了解带内管理与带外管理的区别。 2.熟悉掌握锐捷网络设备的命令行管理界面 3.掌握交换机命令行各种配置模式的区别，以及模式之间的切换。 4.掌握交换机的基本配置方法。 三、背景描述： 1、你是公司新进的网络管理员，公司要求你熟悉网络产品，公司采用的是全系列的锐捷网络产品，首先要求你登录交换机，了解掌握交换机的命令行操作 2、公司有部分主机网卡属于10MBIT/S网卡，传输模式为半双工，为了能实现主机之间的正常通讯，现把和主机相连的交换机端口速率设为10Mbit/s,传输模式设为半双工，并开启该端口进行数据的转发。 3、你是公司的新网管，第一天上班时，你必须掌握公司交换机的当前工作情况，通过查看交换机的系统信息和配置信息，了解公司的设备和网络环境。 三、实验设备：每一实验小组提供如下实验设备 1、实验台设备：计算机两台PC1和PC2（或者PC4和PC5） 2、实验机柜设备：S2126(或者S3550)交换机一台 3、实验工具及附件：网线测试仪一台跳线若干 四、实验内容及要求： 1、S2126G交换机的管理方式：带内管理和带外管理。 带外管理方式：使用专用的配置线缆，将计算机的COM口与交换机的console 口连接，使用操作系统自带的超级终端程序，登录到交换机对交换机进行初始化配置，这种管理方式称作为带外管理。它不通过网络来管理配置交换机，不占用网络传输带宽，这种方式称作为带外管理。 带内管理方式：交换机在经过带外方式的基本配置后，就可以使用网络连接，通过网络对交换机进行管理配置，配置命令数据传输时，要通过网路线路进行，需要占用一定的网络带宽，浪费一定的网路资源，这种方式称为带内管理方式。 2、交换机命令行操作模式：(以实验小组7为例) ●用户模式：进入交换机后得到的第一个配置模式，该模式下可以简单察看交换机的软、硬件版 本信息，并进行简单的测试。用户模式提示符为：S2126G-7-1〉 ●特权模式：由用户模式进入的下一级模式，在该模式下可以对交换机的配置文件进行管理，查 看交换机的配置信息，进行网络的测试和调试，进行网络的测试和调试等。特权模式显示符为：S2126G-7-1＃

交换机的端口配置与管理.pdf

实验2　交换机的端口配置与管理 实验目标 掌握交换机基本信息的配置管理。 实验背景 某公司新进一批交换机，在投入网络以后要进行初始配置与 管理，你作为网络管理员，对交换机进行端口的配置与管 理。 技术原理 交换机的管理方式基本分为两种：带内管理和带外管理。 通过交换机的Console端口管理交换机属于带外管理；这 种管理方式不占用交换机的网络端口，第一次配置交换机 必须利用Console端口进行配置。 交换机的命令行操作模式主要包括： 用户模式 Switch> 特权模式 Switch# 全局配置模式 Switch(config)# 端口模式 Switch(config-if)# 实验步骤： 新建Packet Tracer拓扑图 了解交换机端口配置命令行 修改交换机名称(hostname X) 配置交换机端口参数(speed,duplex) 查看交换机版本信息(show version) 查看当前生效的配置信息(show running-config) 查看保存在NVRAM中的启动配置信息(show startup- config) 查看端口信息 Switch#show interface 查看交换机的MAC地址表Switch#show mac-address-table 选择某个端口Switch(config)# interface type mod/port (type 表示端口类型，通常有ethernet、Fastethernet、 Gigabitethernet)（mod表示端口所在的模块，port表示在该 模块中的编号）例如interface fastethernet0/1 选择多个端口Switch(config)#interface type mod/startport- endport

交换机典型访问控制列表配置实例

交换机典型访问控制列表配置实例 一、组网需求： 1．通过配置基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.2主机发出报文的过滤； 2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器； 3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为 00e0-fc01-0101的报文进行过滤。 二、组网图 三、配置步骤： ㈠H3C 3600 5600 5100系列交换机典型访问控制列表配置 共用配置 1．根据组网图，创建四个vlan，对应加入各个端口 system-view [H3C]vlan 10 [H3C-vlan10]port GigabitEthernet 1/0/1 [H3C-vlan10]vlan 20 [H3C-vlan20]port GigabitEthernet 1/0/2 [H3C-vlan20]vlan 20 [H3C-vlan20]port GigabitEthernet 1/0/3

[H3C-vlan20]vlan 30 [H3C-vlan30]port GigabitEthernet 1/0/3 [H3C-vlan30]vlan 40 [H3C-vlan40]port GigabitEthernet 1/0/4 [H3C-vlan40]quit 2．配置各VLAN虚接口地址 [H3C]interface vlan 10 [H3C-Vlan-interface10]ip address 10.1.1.1 24 [H3C-Vlan-interface10]quit [H3C]interface vlan 20 [H3C-Vlan-interface20]ip address 10.1.2.1 24 [H3C-Vlan-interface20]quit [H3C]interface vlan 30 [H3C-Vlan-interface30]ip address 10.1.3.1 24 [H3C-Vlan-interface30]quit [H3C]interface vlan 40 [H3C-Vlan-interface40]ip address 10.1.4.1 24 [H3C-Vlan-interface40]quit 3．定义时间段 [H3C] time-range huawei 8:00 to 18:00 working-day 需求1配置（基本ACL配置） 1．进入2000号的基本访问控制列表视图 [H3C-GigabitEthernet1/0/1] acl number 2000 2．定义访问规则过滤10.1.1.2主机发出的报文 [H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei 3．在接口上应用2000号ACL [H3C-acl-basic-2000] interface GigabitEthernet1/0/1 [H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000 [H3C-GigabitEthernet1/0/1] quit 需求2配置（高级ACL配置） 1．进入3000号的高级访问控制列表视图 [H3C] acl number 3000 2．定义访问规则禁止研发部门与技术支援部门之间互访 [H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 3．定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei

访问控制列表原理及配置技巧(acl)

1、访问控制列表的作用。 作用就是过滤实现安全性具网络可有管理性 一、过滤，经过路由器的数据包 二、控制增长的网络IP数据 2、访问控制列表的分类及其特性。 一、标准列表 只基于ip协议来工作，只能针对数据包种的源地址来做审核，由于无法确定具体的目的，所以在使用的过程中，应靠近目的地址，接口应为距目的地址最近的接口，方向为out。 访问控制别表具有方向性，是以路由器做参照物，来定义out或者in out：是在路由器处理完以后，才匹配的条目 in：一进入路由器就匹配，匹配后在路由。 编号范围为：1-99 二、扩展列表 可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作，在工作的过程中常用在距源或组源最近的路由器上， 接口为距源最近的接口，方向为in，可以审核三层和四层的信息。 编号范围：100-199 如何判断应使用哪种类型的访问控制列表 标准：针对目的，允许或拒绝特定的源时，使用标准的（当目的唯一，具有多个源访问时。） 扩展：针对源地址，允许或拒绝源去往特定的目的。或者在涉及四层信息的审核时通常都会采用扩展列表。（当源确定下来，具有单个源可有多个目的地址时。） 编号的作用： a,标识表的类型 b,列表的名字 1.访问列表最后一条都隐含拒绝所有，使用拒绝列表时，必须有条允许语句。 2.访问列表按顺序自上而下逐条匹配，当匹配后立即执行，不会继续匹配。

3.具有严格限制的条目应该放在列表前。 4.删除列表不能有选择删除，若no access-list X 的一个条目，则这个列表被删除。 5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核. 6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上. 7.当列表过滤掉一个数据包时，会返回给源一个不可达的icmp包，然后丢掉或过滤掉包 8.访问列表在应用中，标准的应靠近目的，而扩展则靠近源或组源。 9.当路由器调用了一个没有条目的列表，则执行列表隐含条目，deny any （拒绝所有） 10.在某个接口，某个方向上只能调用一个列表。 11.访问控制列表不能过滤自身产生的数据。 书写列表的步骤： 1.选择要应用的列表类型 2.选择要书写的路由器并书写列表 3.选择路由器的接口来调用列表实现过滤 4.选择应用列表的方向 标准访问控制列表的配置 1.回顾标准列表的特性 2.标准列表的配置语法（通配符） 配置的过程中，熟记配置规则 1.标准列表：只基于ip协议工作，控制数据包的源地址 应用过程中：距目的地址近的路由器和接口 2.配置列表的步骤 1）选择列表的类型 2）选择路由器（是要在哪个上路由器上配置列表） 3.）选择要应用的接口（在哪个接口上调用） 4）判断列表的方向性（in和out：相对路由器） 3.标准列表的配置语法 1）在全局模式下，书写规则 access-list 列表编号permit/deny 源网络地址源地址的通配符 列表的编号：1-99 和1300 - 1999 通配符：零所对应的位即为精确匹配位。通常所讲的反子掩码 255.255.255.0 == 通配符=0.0.0.255 255.255.255.255 - 正掩码 ——————————— 反子网掩码 2）调用列表

交换机和路由器的基本配置

实验一交换机和路由器的基本配置 交换机的基本配置 【实验名称】 交换机的基本配置。 【实验目的】 掌握交换机命令行各种操作模式的区别，能够使用各种帮助信息，以及用命令进行基本的配置。 【背景描述】 你是某公司新进的网管，公司要求你熟悉网络产品，公司采用全系列锐捷网络产品，首先要求你登录交换机，了解、掌握交换机的命令行操作技巧，以及如何使用一些基本命令进行配置。 【需求分析】 需要在交换机上熟悉各种不同的配置模式以及如何在配置模式间切换，使用命令进行基本的配置，并熟悉命令行界面的操作技巧。 【实验拓扑】 图1-1 实验拓扑图 【实验设备】 三层交换机1台 【预备知识】 交换机的命令行界面和基本操作 【实验原理】 交换机的管理方式基本分为两种：带内管理和带外管理。通过交换机的Console口管理交换机属于带外管理，不占用交换机的网络接口，其特点是需要使用配置线缆，近距离配置。第一次配置交换机时必须利用Console端口进行配置。 交换机的命令行操作模式，主要包括：用户模式、特权模式、全局配置模式、端口模式等几种。 ???用户模式进入交换机后得到的第一个操作模式，该模式下可以简单查看交换机的软、硬件版本信息，并进行简单的测试。用户模式提示符为switch> ???特权模式由用户模式进入的下一级模式，该模式下可以对交换机的配置文件进行管理，查看交换机的配置信息，进行网络的测试和调试等。特权模式提示符为switch# ???全局配置模式属于特权模式的下一级模式，该模式下可以配置交换机的全局性参数（如主机名、登录信息等）。在该模式下可以进入下一级的配置模式，对交换机具体的功能进行配置。全局模式提示符为switch(config)# ???端口模式属于全局模式的下一级模式，该模式下可以对交换机的端口进行参数配置。端口模式提示符为switch(config-if)# 交换机的基本操作命令包括：

ACL访问控制列表配置案例

访问控制列表练习----扩展访问控制列表 R1#configure R1(config)#intloo 1 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# intfa 0/0 R1(config-if)#ip add 12.12.12.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#do show ipint b R1(config-if)# R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0 R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0 R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0 R1(config)#exit R1#show ip route

R2#configure R2(config)#intfa 0/0 R2(config-if)#ip add 12.12.12.2 255.0.0.0 R2(config-if)#no shutdown R2(config-if)# intfa 0/1 R2(config-if)#ip add 23.23.23.1 255.0.0.0 R2(config-if)#no shutdown R2(config-if)#do show ipint b R2(config-if)# R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0 R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1 R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit

交换机基本配置_实验报告

交换机基本配置_实验报告计算机网络工程》 课程设计报告 交换机和交换机的基本配置 学生姓名 学号 班级 成绩 指导教师 广州大学纺织服装学院电子与信息工程系 2013年12 月 交换机和交换机的基本配置一、实验目的 1( 认识锐捷交换机 2( 进行交换机的基本信息查看，运行状态检查 3( 设置交换机的基本信息，如交换机命名、特权用户密码 4( 交换机不同的命令行操作模式以及各种模式之间的切换 5(交换机的基本配置命令。 、实验环境 1( 以太网交换机两台 2(PC多台 3(专用配置电缆多根 4(网线多根

三、实验准备

1、物理连接 交换机设备中配有一根Console （控制口）电缆线，一头为RJ45接口连接在交换 机的Console 端口，另一头为串行接口连接在 PC 机的串行口 （COM 口）上。 串口 2、软件设置 1）、运行Windows XP 操作系统的“开始”菜单？ “附件” ？ “通讯”中的“超 提示：如果附件中没有“超级终端”组件，你可以通过“控制面板”中的“添 加/删除程序”方式添加该组件。 2）、在“名称”文本框中键入新的超级终端连接项名称，如输入“ Switch ” 弹出对话框输入电话号区号（如:0593），点击“确定”按钮，弹出“连接到”对话 3）、在“连接时使用”的 级终端”软件，弹出“连接描述”对话框如图 12-6所示。 口 PC

下拉列表框中选择与交换 机相连的计算机的串口, 如选择“ COM ”。然后单击 “确定”按钮，弹出的对话框 如图12-7所示。 4）、COM U 性对话框中 图12-6超级终端 的参数设置可按照图 12-4中所示的参数来设置，需要说明的是每秒位数要一定要 端□说置 F 还原芜默认直?11 I 确足 ［取消I 5）、完成以上的设置工作 后，就可以打开交换机电源 了，登录交换机过程需要一

华为交换机各种配置实例[网管必学]

华为交换机各种配置实例[网管必学 交换机配置（一）端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速，将PC1的下载速率限制在3Mbps，同时将PC1的上传速率限制在1Mbps

2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。 【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速，限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速，限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1～127。如果速率限制级别取值在1～28范围内，则速率限制的粒度为64Kbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为N*64K；如果速率限制级别取值在29～127范围内，则速率限制的粒度为1Mbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括：S2008-EI、S2016-EI和S2403H-EI。

交换机ACL访问控制配置

扩展部分-实验04：交换机ACL访问控制配置 实验4：交换机ACL访问控制配置 实验线路连接图： 实验内容： （1）ACL配置：要求实现192.168.1.10可以ping通192.168.1.1，192.168.1.20不能ping通192.168.1.1。交换机配置指令如下： switch(Config)#interface vlan 1 switch(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 switch(Config)#access-list 110 permit icmp host-source 192.168.1.10 host-destination 192.168.1.1 switch(Config)#access-list 110 deny icmp host-source 192.168.1.20 host-destination 192.168.1.1 switch(Config)#firewall enable switch(Config)#firewall default permit switch(Config)#interface ethernet 0/0/1-24 switch(Config-Port-Range)#ip access-group 110 in （2）ACL配置：要求实现拒绝192.168.1.20的IP地址访问网络，交换机配置指令如下：switch(Config)#access-list 50 deny host-source 192.168.1.20 switch(Config)#firewall enable switch(Config)#firewall default permit switch(Config)#interface ethernet 0/0/1-24 switch(Config-Port-Range)#ip access-group 50 in 此时192.168.1.20不能ping通其他任意IP地址，但192.168.1.20的计算机更改IP地址为192.168.1.30后可以访问网络。 （3）ACL配置：要求实现192.168.1.20可以访问192.168.1.10的http服务，但不能访问192.168.1.10的ftp服务。在192.168.1.10上架设http服务和ftp服务，交换机配置指令如下：switch(Config)#access-list 150 deny tcp 192.168.1.20 0.0.0.255 host-destination 192.168.1.10 d-port 21 switch(Config)#firewall enable switch(Config)#firewall default permit switch(Config)#interface ethernet 0/0/1-24 switch(Config-Port-Range)#ip access-group 150 in 实验要求： （1）掌握ACL配置的功能和概念，并完成交换机的ACL配置指令过程。 （2）完成实验报告书（见附录）。

实验八 交换机的认识和基本配置

实验八交换机的认识和基本配置 一、实验内容与要求 1、多种交换机的了解 Quidway S2016, S2404, S3026, S3526, S3900，S2509； Cisco 等； 2、对多种交换机分别进行基本命令的熟悉； 3、掌握交换机各种参数的配置管理，IP地址配置等基本操作； 4、掌握交换机的本地管理、远程管理方法的基本操作； 5、通过对交换机管理配置，加强对网络工作原理及相关技术的掌握，同时熟练掌握涉及网络管理的基本技术技能，为高级网络管理应用打下良好基础。 二、实验原理 三、实验设备器材： 计算机一台，交换机一台，专用RS232控制台电缆一根。 四、实验方法步骤 1、交换机与PC的连接 （1）硬件连接：RS232电缆：连接线一头是RJ45头插入交换机Console口，另一头RS232串口接头插入计算机COM1/COM2口； （2）软件连接：启动Hypertrm超级终端程序（或SecureCRT），建立与交换机的连接名(即建立与交换机连接文件)，输入配置参数：串口号、通信速率（9600）即可与交换机通信。 2、Quidway交换机配置管理和应用 1 仔细观察交换机启动和命令显示界，显示说明交换机现在的工作接口是Aux口； 注：Console口，Aux口，vty都是用于配置交换机的接口。 当第一次配置交换机时，必须通过从Console口； Aux口是辅助端口，很少用； Vty是远程登录接口，如果要用telnet或web形式远程登录的话，必须通过这个接口来配置，但前提是已经通过Console口配置好了基本参数，如交换机IP等。 2、交换机当前工作方式（也称视图）： 普通用户方式 因为交换机有不同的工作模式，在各个模式下的命令也有所不同；（刚登录进交换机时的默认方式） 以下为不同的交换机工作模式（视图/方式）：

实验三 交换机基本配置及交换机端口配置

实验三 交换机基本配置及交换机端口配置（3学时） 一、 实验目的： 1. 熟悉并掌握交换机的命令行视图。 2. 要求熟练掌握交换机的基本配置方法，能完成日常管理网络或配置网络 中有关交换机端口的常用配置，并逐步熟悉交换机端口的基本信息。 3. 掌握用console 端口配置交换机的方法。 4. 掌握在交换机端口视图下对交换机的端口的各参数进行配置和管理。 二、 实验设备： 1. 交换机 2. 计算机、网卡 3. 网线 4. 串口线 三、 实验内容及实验步骤： (一) 交换机的初步认识 Quidway S3526 以太网交换机是华为公司推出的盒式L2/L3 层线速以太网交换产品。 图1 Quidway S3526交换机外观

图2 S3526 交换机交流机箱后面板示意图 图3 S3526 交换机直流机箱后面板示意图表1 S3526 交换机前面板指示灯 表2 配置口（Console）属性

(二) 交换机的电缆连接（通过Console 口搭建本地配置环境） 【备注】：交换机的配置环境可通过Console 口搭建本地配置环境、通过Telnet 搭建配置环境、通过Modem 拨号搭建配置环境（参见S3500操作手册1入门操作.PDF 文档说明，本实验主要通过Console 口搭建本地配置环境） 需要连接3根线：①电源线；② 网线；③配置电缆。如图连接方式： (三) 交换机的启动 ①电源线 连接到插座 连接到交换机电源插口

1.点击“开始”-“程序”-“附件”-“通讯”-“超级终端”进行交换机的连接与串口参数设置： 图5 超级终端连接说明界面 图6 超级终端连接使用串口设置

华为交换机ACL控制列表设置

华为交换机ACL控制列表设置

交换机配置（三）ACL基本配置 1，二层ACL . 组网需求: 通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。 [Quidway] acl name traffic-of-link link # 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress

00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。 # 将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2 三层ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL # 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host] rule 1 deny

1 交换机的基本配置方法

实验一交换机的基本配置方法 一. 实验目的： 1. 掌握交换机常用配置方法 2. 掌握中低端交换机的基本命令行 二.实验设备 华为交换机3台,计算机3台 三. 实验内容及步骤： （一）以太网交换机基础 以太网的最初形态就是在一段同轴电缆上连接多台计算机，所有计算机都共享这段电缆。所以每当某台计算机占有电缆时，其他计算机都只能等待。这种传统的共享以太网极大的受到计算机数量的影响。为了解决上述问题，我们可以做到的是减少冲突域中的主机数量，这就是以太网交换机采用的有效措施。 以太网交换机在数据链路层进行数据转发时需要确认数据帧应该发送到哪一端口，而不是简单的向所有端口转发，这就是交换机MAC 地址表的功能。 以太网交换机包含很多重要的硬件组成部分：业务接口、主板、CPU、内存、Flash、电源系统。以太网交换机的软件主要包括引导程序和核心操作系统两部分。 （二）以太网交换机配置方式 以太网交换机的配置方式很多，如本地Console 口配置，Telnet 远程登陆配置，FTP、TFTP 配置和哑终端（TTY teletypewriter的缩写）方式配置。其中最为常用的配置方式就是Console 口配置和Telnet 远程配置。 注意:第一次进行交换机、路由器配置时必须使用Console本地配置。 1.通过Console口搭建配置环境 第一步：如图所示，建立本地配置环境，只需将微机（或终端）的串口通过配置电缆与以太网交换机的Console口连接。 第二步：在微机上运行终端仿真程序（如Windows 3.X的Terminal或Windows 9X的超级终端等），设置终端通信参数为：波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控，如图所示。 第三步：以太网交换机加电，终端上显示以太网交换机自检信息，自检结束后提示用户

实验1 交换机端口的基本配置

实验1 交换机端口的基本配置 一、实验目的 1、练习cisco 交换机端口的基本配置 二、实验器材 实验环境：packet tracer 5.0 2、网络拓扑图如下图所示： 3、三、基本命令 以下为思科交换机基本命令详解以及图示 从用户模式进入进入特权模式 Enable 修改交换机名称 Hostname name 进入配置模式： Configure terminal（可简写为config t） 显示当前活动的交换机配置文件 Show running-config

下列命令可以用于显示接口1 的统计和状态信息Show interface f0/1

查看vlan 信息 Show vlan 其中vlan1 是默认的管理vlan，未对交换机进行配置时所有的接口默认属于vlan1 查看flash 缓存内容 Show

flash 由上图可以看到flash 缓存中只有一个文件 查看IOS 版本号以及系统硬件的配置情况、引导镜像等（注：IOS—cisco 网络设备的操作系统） 从上图可以得知，IOS 版本为12.1，交换机已经运行25 分钟，共有24 个快速以太网接口，2 个千兆以太网接口。 恢复交换机到默认设置： Erase startup-config /删除备份配置文件 Reload /重新启动交换机

配置主机名称和控制端密码：Hostname snnumis0601 Line console 0 Passwod 123456 Login Line vty 0 15 Password 123456 Login 为二层交换机设置管理vlan 与默认网关Interface vlan 1 Ip add 192.168.30.1 255.255.255.0 No shutdown Exit Ip default-gateway 192.168.30.254 Exit

ACL访问控制列表配置

ACL的使用 ACL的处理过程： 1.它是判断语句，只有两种结果，要么是拒绝（deny），要么是允许（permit） 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时，不匹配规则就一直向下查找，一旦某条语句匹配，后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包，在控制列表的末尾有一条默认拒绝所有的语句，是隐藏的（deny） 要点： 1.ACL能执行两个操作：允许或拒绝。语句自上而下执行。一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。 示例： 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。） 允许172.17.31.222通过，其他主机禁止 Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255） 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。） 允许172.17.31.222访问任何主机80端口，其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222（源）any（目标）eq www

交换机基本配置

交换机基本配置 主要内容及目的 (1)了解交换机配置的方法。 (2)掌握CLI配置环境。 (3)掌握交换机的基本配置。 技术标准及要求 1、交换机的配置方法 配置交换机主要有五种方法： ●控制台（Console口） ●虚拟终端（Telnet） ●TFTP服务器 ●Web方式 ●网管工作站 在上述五种方法中，交换机的第一次配置必须通过控制台方式进行。在控制台方式下对交换机进行了相关配置（例如配置管理IP）以后，才可以使用其他配置方式管理交换机。 (1)控制台配置方式，其配置步骤如下： 第一步：设备连接。 在交换机关机的情况下，利用带RJ45连接器的配置电缆（Console线）将计算机的串口与交换机的Console口相连。如图5-1所示。 第二步：设置超级终端。 在Windows操作系统中按照“开始→程序→附件→通讯→超级终端”步骤，打开如图5-2界面，输入自定义的连接名称，然后单击“确定”按钮。 当出现5-3所示的界面后，选取连接交换机所用的PC端口。配置电缆一般都是通过COM1来连，所以我们选取COM1。 图 5-2 通过超级终端连接交换机 图 5-3 选择连接时使用的端口 当出现图5-4界面时，我们可以在“每秒位数”下

拉列表框中选择9600，其他各项均采用默认值。也可以直接单击“还原为默认值”按钮，然后单击“确定”，此时显示图4-5超级终端界面。至此，超级终端已经做好与交换机控制台连接的准备了。 图 5-4 设置连接参数图 5-5 超级终端界面 第三步：接通交换机电源，连续按几次“回车”键。在PC机超级终端界面中就会显示交换机的开机信息，并进入交换机的配置模式选择菜单。 第四步：选择配置和管理交换机的方式。按回车，进入命令行配置方式（CLI：Command-Line Interface）。 由于控制台方式不需要占用交换机的网络带宽，所以又称为带外管理方式。 (2)通过Telnet配置 Telnet是基于TCP/IP的协议，如果交换机已经用控制台方式配置了管理IP，就可以使用PC的Telnet程序远程登录交换机并进入交换机的命令行配置模式（CLI）。虽然Telnet与控制台方式的表现形式不同，但两者的配置界面相同。其配置步骤如下： 第一步：设备连接。 把计算机的网卡与交换机的某Ethernet端口用直通网线连接起来。 第二步：运行TELNET终端仿真程序登陆交换机。 在Windows操作系统中打开“开始→运行”，输入“telnet ip-address”或者“telnet hostname”命令登录交换机进行管理和配置（ip-address指的是交换机的管理IP，hostname指的是交换机的域名或者主机名）。假设交换机的管理IP为192.168.1.1，则操作如图5-6所示。 图4-6 用TELNET方式管理交换机