交换机访问控制
1. 关于思科交换机的访问控制
通常acl属于路由器或三层交换机命令,当然,某些二层半交换机也可以。
在路由或三层交换机上,首先要保证server和PC_3不属于同一个网段,即它们之间的访问必须通过路由,这样才能在路由或三层交换机上实现acl,而且不应该是ip any any,这样的acl应用到那个端口,那个端口就被封死了,和shutdown差不多。
大致命令应该是类似deny ip <PC_3的ip> <server的ip>,后面还要跟一个permit ip any any命令。因为acl一旦被应用到一个端口,则除了acl中列出的规则外,路由器会抛弃没有对应规则匹配的数据包,等价于最后隐藏了一个deny ip any any命令。
二层半交换机的acl基本模仿路由器的acl,但路由器属于拆包重装,且符合规则就按规则要求装包转发,否则丢弃;而二层半则只是去“读”三层信息,并根据规则来决定是否进行二层转发。只要提供了,一般用?都能看到,应用方法也类似。纯二层交换机是不会提供ip access-group命令的。
2. 思科2950交换机访问控制配置
首先把pc和server放到不同的vlan中,在进行如下配置:
switch(config)#access-list 1 permit host 192.168.1.2
switch(config)#access-list 1 deny any
switch(config)#int vlan 1
switch(config-vlan)ip access-group 1 out
switch(config-vlan)ip access-group 1 in
switch(config)#access-list 2 permit host 192.168.1.1
switch(config)#access-list 2 deny any
switch(config)#int vlan 2
switch(config-vlan)#ip access-group 2 out
switch(config-vlan)#ip access-group 2 in
3. 交换机端口访问控制
你说的访问是指的相互传数据的话.我认为不能实现.
如果1能到2和5后,哪2和5必须回包给1啊(不允许访问呢)