交換機訪問控制
1. 關於思科交換機的訪問控制
通常acl屬於路由器或三層交換機命令,當然,某些二層半交換機也可以。
在路由或三層交換機上,首先要保證server和PC_3不屬於同一個網段,即它們之間的訪問必須通過路由,這樣才能在路由或三層交換機上實現acl,而且不應該是ip any any,這樣的acl應用到那個埠,那個埠就被封死了,和shutdown差不多。
大致命令應該是類似deny ip <PC_3的ip> <server的ip>,後面還要跟一個permit ip any any命令。因為acl一旦被應用到一個埠,則除了acl中列出的規則外,路由器會拋棄沒有對應規則匹配的數據包,等價於最後隱藏了一個deny ip any any命令。
二層半交換機的acl基本模仿路由器的acl,但路由器屬於拆包重裝,且符合規則就按規則要求裝包轉發,否則丟棄;而二層半則只是去「讀」三層信息,並根據規則來決定是否進行二層轉發。只要提供了,一般用?都能看到,應用方法也類似。純二層交換機是不會提供ip access-group命令的。
2. 思科2950交換機訪問控制配置
首先把pc和server放到不同的vlan中,在進行如下配置:
switch(config)#access-list 1 permit host 192.168.1.2
switch(config)#access-list 1 deny any
switch(config)#int vlan 1
switch(config-vlan)ip access-group 1 out
switch(config-vlan)ip access-group 1 in
switch(config)#access-list 2 permit host 192.168.1.1
switch(config)#access-list 2 deny any
switch(config)#int vlan 2
switch(config-vlan)#ip access-group 2 out
switch(config-vlan)#ip access-group 2 in
3. 交換機埠訪問控制
你說的訪問是指的相互傳數據的話.我認為不能實現.
如果1能到2和5後,哪2和5必須回包給1啊(不允許訪問呢)