没有合适的资源?快使用搜索试试~ 我知道了~
资源详情
资源评论
资源推荐
![](https://csdnimg.cn/release/download_crawler_static/899542/bg1.jpg)
2
2
.
.
2
2
C
C
a
a
t
t
a
a
l
l
y
y
s
s
t
t
系
系
列
列
交
交
换
换
机
机
上
上
的
的
V
V
A
A
C
C
L
L
在 Catalyst 系列交换机上,我们可以使用 VACL(或者说 VLAN maps)来实现对网络访问的
控制,在学习 VACL 的实施之前,读者必须完全掌握 ACL 的实现方法。
VACL 依赖于 ACL,它需要使用 ACL 来对需要采取措施的数据包进行标识。这里需要强调一点:
当用户使用 ACL 标识数据包时,ACL 对数据包的操作一定是“permit”。用 ACL 标识以后,对此
类数据包具体采取什么操作则由 VACL 来定义,下面显示了 VACL 的设计流程图:
使用不同的ACL对不同类的数据包进行标识(全部是permit语句):
ACL 1:类别1的数据包
ACL 2:类别2的数据包
ACL 3:类别3的数据包
开始编写VACL:
类别1的数据包 操作:forward或者drop
类别2的数据包 操作:forward或者drop
类别3的数据包 操作:forward或者drop
序号10
序号20
序号30
序号最大 其他类别的数据包 操作:drop
…
…
…
…
VACL 采用序号来分辨语句的执行顺序(ACL 采用从上之下的顺序),序号小的语句先执行,
序号大的语句后执行,序号可以由用户自己定义(ACL 的语句没有序号,它顺序就是语句输入的
先后顺序)。出于安全考虑,和 ACL 一样,VACL 的末尾也包含一条隐式拒绝一切的语句。
『注意』VACL 没有方向性,它并不是应用与某个接口的,而是应用于整个 VLAN 的。
下表列出了定义 VACL 所需要使用的命令与解释:
命令 解释
vlan access-map name [number] Number 即序号,一般为 10、20、30……,它决定了该语
句的执行顺序。如果用户想向 10 与 20 语句之间插入一
条语句的话,可以将其序号定义在 10 与 20 之间,例如:
15。
match ip address {name | number} 定义该 VACL 语句的匹配条件,name 即 ACL 的名称(命
名 ACL),number 即 ACL 的号码(编号 ACL)。
action {drop | forward} 定义该语句的操作,drop 即丢弃数据包,forward 即转
发数据包
vlan filter mapname vlan-list
list
在 VLAN 上调用 VACL
下面,我们使用一个实例来对 VACL 的使用进行介绍:
![](https://csdnimg.cn/release/download_crawler_static/899542/bg2.jpg)
此例中我们需要使用 VACL 来实现以下要求:
1、VLAN1 和 VLAN3、VLAN2 和 VLAN3 可以互相访问。
2、VLAN1 和 VLAN2 不能互相访问。
3、VLAN1 内部的主机 1 和主机 2 不能互访,其它主机都能自由互相访问。
VLAN 的子网地址如图所示,假定分配给每个 VLAN 虚接口的地址都是该子网的第一个地址,
主机 1 的地址为:10.1.1.2,主机 2 的地址为:10.1.1.3。交换机 3550 配置如下:
1、配置主机名、enable secret(省略)
2、创建 VLAN、划分端口到相应的 VLAN 中。(省略)
3、定义 VLAN 虚接口地址,并且启动三层交换。
SW3550(config)#interface vlan 1
SW3550(config-if)#ip address 10.1.1.1 255.255.255.0
SW3550(config-if)#no shutdown
SW3550(config-if)#exit
SW3550(config)#interface vlan 2
SW3550(config-if)#ip address 10.2.2.1 255.255.255.0
SW3550(config-if)#no shutdown
SW3550(config-if)#exit
SW3550(config)#interface vlan 3
SW3550(config-if)#ip address 10.3.3.1 255.255.255.0
SW3550(config-if)#no shutdown
SW3550(config-if)#exit
SW3550(config)#ip routing 启动三层交换,让 vlan 间互通
4、定义 ACL,标识出需要丢弃的数据包
SW3550(config)#access-l 101 permit ip host 10.1.1.2 host 10.1.1.3
SW3550(config)#access-l 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
5、编写 VACL
SW3550(config)# vlan access-map cisco 10 cisco 为 VACL 的名称
SW3550(config-access-map)# match ip address 101
SW3550(config-access-map)# action drop
SW3550(config-access-map)# exit
![](https://csdnimg.cn/release/download_crawler_static/899542/bg3.jpg)
调用 ACL101,对此 ACL 所标识的数据流执行丢弃(drop)操作,此句序号为 10
SW3550(config)# vlan access-map cisco 20
SW3550(config-access-map)# action forward
SW3550(config-access-map)# exit
对于其他数据包,执行转发(forward)操作,此句序号为 20
6、调用 VACL
SW3550(config)# vlan filter cisco vlan-list 1 - 3
在 VLAN1、VLAN2、VLAN3 上启用 VACL:cisco。
2
2
.
.
3
3
特
特
殊
殊
的
的
访
访
问
问
控
控
制
制
列
列
表
表
本节介绍几种特殊的访问控制列表,主要包含以下几点内容:
1、增强的 ACL 修改功能
2、扩展 ACL 中的 established 参数
3、反射 ACL
4、动态 ACL
5、基于时间的 ACL
6、基于上下文的访问控制列表
2
2
.
.
3
3
.
.
1
1
增
增
强
强
的
的
A
A
C
C
L
L
修
修
改
改
功
功
能
能
经验丰富的管理员会发现对 Cisco 的 ACL 进行修改是件非常头疼的事情,因为 Cisco 的 ACL
只能向列表末尾添加语句,而不能在列表中间插入语句。Cisco 在 IOS 12.2T8 及以后的版本中
增强了 ACL 的修改功能,用户可以向现在 ACL 的任意部位插入新的语句。下面,我们先来比较一
下在 IOS 12.2T8 之前和之后的 IOS 中分别使用 show access-list 命令的输出内容。
IOS 12.2(31)中的 show access-list 输出:
Router(config)# access-list 101 permit ip host 1.1.1.1 host 2.2.2.2
Router(config)# access-list 101 permit ip host 1.1.1.1 host 3.3.3.3
Router(config)# end
Router# show access-lists 101
Extended IP access list 101
permit ip host 1.1.1.1 host 2.2.2.2
permit ip host 1.1.1.1 host 3.3.3.3
IOS 12.2(15)T16 中的 show access-list 输出:
Router(config)# access-list 101 permit ip host 1.1.1.1 host 2.2.2.2
Router(config)# access-list 101 permit ip host 1.1.1.1 host 3.3.3.3
Router(config)# do show access-list 101
Extended IP access list 101
10 permit ip host 1.1.1.1 host 2.2.2.2
20 permit ip host 1.1.1.1 host 3.3.3.3
从输出中,我们可以看到 IOS 12.2(15)T16 的 show access-list 输出在列表中的每条语句
![](https://csdnimg.cn/release/download_crawler_static/899542/bg4.jpg)
之前加了序列号(10 和 20)。
下面,我们使用一个例子来说明如何向列表中间插入新的语句。
Router(config)# ip access-list extended
101
Router(config-ext-nacl)# 15 permit ip host 1.1.1.1 host 4.4.4.4
使用 show access-list 命令检验:
Router# show access-list 101
Extended IP access list 101
10 permit ip host 1.1.1.1 host 2.2.2.2
15 permit ip host 1.1.1.1 host 4.4.4.4
20 permit ip host 1.1.1.1 host 3.3.3.3
从上面的输出中,我们可以看到:由于新插入语句的序列号为 15,因此它插在了序列号为
10 和 20 的两句话中间。
我们还可以使用 ip access-list resequence
access-list-number start-number
increase-number
命令对访问控制列表的序列号进行重新编号,例如:
Router(config)# ip access-list resequence
101 10 10
Router(config)# do sh access-list 101
Extended IP access list 101
10 permit ip host 1.1.1.1 host 2.2.2.2
20 permit ip host 1.1.1.1 host 4.4.4.4
30 permit ip host 1.1.1.1 host 3.3.3.3
命令“ip access-list resequence 101 10 10”中,第一个“10”代表序列号从 10 开始计
算,第二个“10”代表序列号每次增加以 10 为一跳。
2
2
.
.
3
3
.
.
2
2
扩
扩
展
展
A
A
C
C
L
L
中
中
的
的
e
e
s
s
t
t
a
a
b
b
l
l
i
i
s
s
h
h
e
e
d
d
参
参
数
数
在扩展 ACL 语句的最后,我们可以加上 established 参数,它可以用来作 TCP 的单向访问控
制。
在开始正式讲述之前,我们先来回顾一下 TCP 建立连接的过程:
上图显示了 TCP 建立连接的过程,从图中,我们可以看出:A 发给 B 的第一个数据段中没有
ACK 位,通过这点我们就可以判断 A 在向 B 发起连接。扩展 Acl 中的 established 可以根据数据
段中是否设置了 ACK 位来对分组进行过滤(没有 ACK 位的不符合 established 条件)。
下面我们使用两个实例来说明如何使用 established 参数实现单向访问控制,试验 1 拓扑图
如下所示:
剩余16页未读,继续阅读
![application/pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![chm](https://img-home.csdnimg.cn/images/20210720083646.png)
![doc](https://img-home.csdnimg.cn/images/20210720083327.png)
![gz](https://img-home.csdnimg.cn/images/20210720083447.png)
![002](https://img-home.csdnimg.cn/images/20210720083646.png)
![003](https://img-home.csdnimg.cn/images/20210720083646.png)
![004](https://img-home.csdnimg.cn/images/20210720083646.png)
![005](https://img-home.csdnimg.cn/images/20210720083646.png)
![txt](https://img-home.csdnimg.cn/images/20210720083642.png)
![006](https://img-home.csdnimg.cn/images/20210720083646.png)
![avatar](https://profile-avatar.csdnimg.cn/default.jpg!1)
firstbutton
- 粉丝: 0
- 资源: 2
上传资源 快速赚钱
我的内容管理 展开
我的资源 快来上传第一个资源
我的收益
登录查看自己的收益我的积分 登录查看自己的积分
我的C币 登录后查看C币余额
我的收藏
我的下载
下载帮助
![voice](https://csdnimg.cn/release/downloadcmsfe/public/img/voice.245cc511.png)
![center-task](https://csdnimg.cn/release/downloadcmsfe/public/img/center-task.c2eda91a.png)
最新资源
- 最详细的python安装教程,跟着操作即可,最好保证电脑的网络稳定情况下安装.zip
- 浅谈网文教程(91).zip
- 2024 年最新中国大学名单
- Indexea 搜索服务平台的 OpenAPI,用于描述平台的所有接口信息,可以通过这个页面来了解和在线验证平台的所有接口信息
- 利用powerworld软件进行电力系统故障仿真
- 大学生计算机网络基础教程PDF,打破计算机文盲的现象,通俗易懂上手快.zip
- 正确打开网络安全学习路线,循序渐进,从认知到深入理解,最终达到应用的目的.zip
- 提供一种ABS四轮车辆的MatlabSimulink建模与仿真的案例期刊.zip
- flowerstore3.zip
- python爬虫-爬虫实战之,抓今日头条手机App数据并存入MongoDB,亲测可用.zip
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
![feedback](https://img-home.csdnimg.cn/images/20220527035711.png)
![feedback](https://img-home.csdnimg.cn/images/20220527035711.png)
![feedback-tip](https://img-home.csdnimg.cn/images/20220527035111.png)
安全验证
文档复制为VIP权益,开通VIP直接复制
![dialog-icon](https://csdnimg.cn/release/downloadcmsfe/public/img/green-success.6a4acb44.png)
评论1